Waarschuwt een bank de rekeninghouder wel voldoende tegen de risico’s van phishing? (naar aanleiding van Hof Den Bosch 6 november 2012)

Digitale criminaliteit is aan de orde van de dag, dat blijkt niet alleen uit sites als security.nl, maar ook uit de vele uitspraken. Het Gerechtshof ‘s-Hertogenbosch heeft op 6 november 2012 een tussenuitspraak gedaan in een phishing zaak, waarin de vraag aan de orde komt of de bank de rekeninghouder, een ondernemer, voldoende heeft gewaarschuwd voor phishing. De ondernemer heeft schade geleden en probeert deze schade op de bank te verhalen.

Uit de uitspraak kan worden afgeleid dat een waarschuwingscampagne van de gezamenlijke banken in combinatie met een waarschuwing tijdens het internetbankieren voldoende is.

Ik vraag me wel af of het wel een juiste veronderstelling is dat boodschappen via tv en internet de rekeninghouders bereiken. Een waarschuwing tijdens het internetbankieren kan voor de rekeninghouder onduidelijk zijn.  Zou het niet beter zijn als de banken hun rekeninghouders hierover gewoon een papieren brief stuurden? Het hof denkt er in deze zaak anders over.

Op grond van een eerdere uitspraak van het hof diende de Rabobank in deze zaak de navolgende informatie te verstrekken:

-Hoe en met welke frequentie werd de inhoud van de campagne 3 keer kloppen aan het publiek bekend gemaakt?
-Wat was de inhoud van deze campagne?
-Werd hierin ook gewaarschuwd voor het verstrekken van vertrouwelijke gegevens aan personen die zich, al dan niet telefonisch, voordoen als medewerker van een bank?
-Is er voorafgaand aan de datum van de frauduleuze overboekingen sprake geweest van andere uitingen van de bank(en), waarin de in de vorige vraag genoemde waarschuwing werd gegeven en zo ja, welke uitingen zijn dit en hoe werden deze gedaan?
-Hoe werd de in 4.12. (van het tussenarrest) aangehaalde waarschuwing aan klanten van de bank bekend gemaakt?
-Waaruit blijkt dat deze informatie vanaf 20 mei 2010 voor klanten van de bank (en niet alleen voor klanten van Rabobank Nederland) bij het internetbankieren zichtbaar was?

De bank blijkt voldoende gegevens te hebben verstrekt, want het hof concludeert dat de gezamenlijke banken de rekeninghouders hebben gewaarschuwd (de rekeninghouder wordt als appellante aangeduid):

8.3.1.Naar het oordeel van het hof blijkt uit genoemde producties dat de gezamenlijke banken, met name door middel van bovengenoemde campagne “3 keer kloppen”, vanaf eind 2007 hun klanten waarschuwen voor fraude bij internetbankieren, onder meer bestaande uit “phishing” mailberichten waarin wordt gevraagd om inloggegevens (…). Aan de klanten is nadrukkelijk geadviseerd veiligheidsvoorschriften in acht te nemen en controles uit te voeren. Daarbij gaat het er onder meer om of de beveiliging van de pc klopt, of de website klopt (met wie heeft men van doen op websites of in e-mails) en of de betalingen (bij- en afschrijvingen) kloppen. De bank heeft onder meer een gedetailleerd uitzendschema overgelegd van radio- en televisiecommercials van de bewuste campagne (…) en heeft naar twee op veilig internetbankieren gerichte websites verwezen.
Uit de antwoorden van de bank op de door het hof gestelde vragen blijkt niet, zoals ook [appellante] stelt, dat de campagne 3 keer kloppen of de andere waarschuwingen tot en met april 2010 (…) betrekking hadden op personen die zich telefonisch voordoen als medewerker van de bank.

Het hof heeft geen interesse voor de stelling van de rekeninghouder dat de campagne van de banken haar niet heeft bereikt.

8.3.2. (…) De enkele niet nader toegelichte stelling dat zij buiten de doelgroep valt en dat zij de betreffende zenders niet beluistert is daartoe, zeker gelet op de blijkens het uitzendschema zeer gevarieerde programmering van de commercials over de campagne “3 keer kloppen”, onvoldoende. (…) Gelet op het voorgaande heeft [appellante] haar stelling dat zij door de bank niet is gewaarschuwd voor fraude bij internetbankieren (onder meer bestaande uit phishing mailberichten) onvoldoende onderbouwd. Aan het bewijsaanbod van [appellante] op dit punt zal derhalve worden voorbijgegaan.

Het hof bespreekt de vraag of de bank ook heeft voldaan aan haar verplichting om de rekeninghouder tijdig te waarschuwen voor de onderhavige specifieke wijze van fraude, waarbij de fraudeur rekeninghouder telefonisch in de waan heeft gebracht dat zij contact had met een medewerker van de bank. Het hof zegt:

8.4.1. (…) Tussen partijen is niet in geschil dat de bank er voorafgaand aan de datum van de frauduleuze overboekingen (8 juni 2010) van op de hoogte was, dat er sinds kort sprake was van gevallen van dergelijke fraude.

8.4.2.[appellante] stelt dat de bank bedoelde specifieke waarschuwingsplicht heeft geschonden. Volgens haar heeft de bank pas na de frauduleuze overboekingen en wel op 14 juni 2010 (in de antwoordakte noemt [appellante] ook enkele malen 17 juni 2010) een specifiek hierop gerichte waarschuwing geplaatst op de website van de bank. Eventuele eerdere waarschuwingen waren voor haar als klant niet kenbaar, aldus [appellante].

8.4.3.De bank betwist dat zij pas na 8 juni 2010 een specifieke waarschuwing kenbaar heeft gemaakt. Ter onderbouwing hiervan verwijst zij onder meer naar de op 9 april 2010 en 7 mei 2010 door Rabobank Nederland op de website van de Rabobank geplaatste, (verscherpte) waarschuwingen (…). Ook beroept zij zich op een volgens de bank vanaf 20 mei 2010 voor [appellante] zichtbare waarschuwing op de website van de bank (…). Volgens de bank waren deze waarschuwingen kenbaar voor [appellante] bij het internetbankieren.

8.4.4.Naar het oordeel van het hof heeft [appellante] de gestelde schending van de waarschuwingsverplichting van de bank, gelet op de hierboven vermelde onderbouwde betwisting door de bank, niet op voorhand bewezen.
Daarbij wordt nog overwogen dat, anders dan [appellante] stelt, de tekst van productie X bij de akte, waarvan de bank stelt dat die op 7 mei 2010 voor [appellante] zichtbaar was, wel een voldoende specifieke waarschuwing bevat. Deze tekst luidt, voor zover hier van belang, onder meer:

“Geef nooit inloggegevens door
Medewerkers van de Rabobank vragen nooit naar (persoonlijke) inloggegevens (pincode, I-code of S-code). Niet per e-mail, per telefoon, of op welke ander manier dan ook. (…) Ondanks waarschuwingen en alertheid blijft het toch voorkomen dat sommige klanten hun gegevens via een zogenaamde phishing e-mail of via de telefoon afgeven (…)”

Indien deze waarschuwing vóór 8 juni 2010 voor [appellante] bij het internetbankieren kenbaar was, heeft de bank voldaan aan haar zorgplicht.

Vervolgens krijgt de rekeninghouder een bewijsopdracht, zodat de rekeninghouder de procedure wel zal gaan verliezen. Die bewijsopdracht houdt in dat de rekeninghouder zal moeten bewijzen:

(…) dat de bank, voorafgaand aan de frauduleuze overboekingen van 8 juni 2010, geen voor [appellante] bij het internetbankieren kenbare waarschuwing heeft gegeven over personen die zich telefonisch valselijk als medewerker van de bank voordoen en om inlogcodes vragen.

Mijn voorlopige conclusie is dat van rekeninghouders wel heel veel wordt gevraagd. Ik meen dat banken zelf actief hun rekeninghouders zullen moeten informeren over de nieuwste risico’s, niet alleen via algemene campagnes op tv en internet, maar ook door middel van individuele berichten aan hun rekeninghouders.

Zie ook mijn eerdere berichten over phishing, onder meer het bericht “Krijgen phishing-slachtoffers hun schade wel vergoed?” van 5 juni 2012 en andere berichten met de tag phishing.

Advertenties

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s