Wat is “PHISHING” en waar komt de term vandaan?
Phishing is een fenomeen waarbij malafide individuen via allerlei trucjes in het bezit trachten te komen van gevoelige digitale informatie.
Vervolgens wordt de verkregen informatie misbruikt voor het plegen van misdrijven.
Dit kan gaan van identiteitsfraude tot financiële fraude.
De term “phishing” is afgeleid van het Engelse “fishing” hetgeen vissen betekent.
De term vindt zijn oorsprong in het feit dat de criminelen als het ware hengelen naar bepaalde informatie.
Explosieve toename in het aantal gevallen:
Daar waar tot een jaar of tien geleden phishing uitzonderlijk was in onze contreien, is dit helaas tegenwoordig schering en inslag.
Wie krijgt tegenwoordig niet wekelijks of zelfs dagelijks geen verdachte e-mails, sms of WhatsApp berichten waarbij malafide internetfraudeurs trachten informatie te ontfutselen.
In een ander blogartikel hebben wij reeds het fenomeen “phishing” via sms en WhatsApp besproken.
In het huidige artikel wensen wij thans de vraag te behandelen naar de eventuele aansprakelijkheid van de bank wanneer iemand via “phishing” slachtoffer wordt van financiële fraude.
Wanneer er contact opgenomen wordt met de bank in kwestie, tracht de bank zich vaak hier al te gemakkelijk vanaf te maken stellende dat de bank niet aansprakelijk is voor “phishing” en er dus ook geen terugbetaling zal vinden.
Regeling in het wetboek Economisch Recht:
In 2018 heeft de wetgever bepaalde regels i.v.m. “phishing” opgenomen in het wetboek Economisch Recht.
Meer bepaald gaat het om artikel VIII.44 WER.
Dit artikel luidt als volgt:
“ Art. VII.44. [ 1 § 1. In afwijking van artikel VII.43 draagt de betaler tot aan de kennisgeving verricht overeenkomstig artikel VII.38, § 1, 2°, het verlies tot een bedrag van ten hoogste 50 euro met betrekking tot alle niet-toegestane betalingstransacties die voortvloeien uit het gebruik van een verloren of gestolen betaalinstrument of uit het onrechtmatig gebruik van een betaalinstrument.
In afwijking van het eerste lid, draagt de betaler geen enkel verlies indien:
1° het verlies, de diefstal of het onrechtmatig gebruik van een betaalinstrument niet kon worden vastgesteld door de betaler voordat een betaling plaatsvond, tenzij de betaler zelf frauduleus heeft gehandeld, of
2° het verlies is veroorzaakt door het handelen of nalaten van een werknemer, agent of bijkantoor van een betalingsdienstaanbieder of van een entiteit waaraan diens activiteiten werden uitbesteed.
De Koning kan andere gevallen voorzien waarvoor lid 1 niet van toepassing is rekening houdend met de toekomstige technologische evolutie wat betreft het gebruik van betalingsinstrumenten, en voor zover de betaler niet frauduleus heeft gehandeld, noch opzettelijk zijn verplichtingen uit hoofde van artikel VII. 38 heeft verzaakt.
De betaler draagt alle verliezen in verband met niet-toegestane betalingstransacties indien de betaler deze heeft geleden doordat hij frauduleus heeft gehandeld of opzettelijk of door grove nalatigheid één of meer van de in artikel VII. 38 genoemde verplichtingen niet is nagekomen. In die gevallen is het in de eerste alinea bedoelde maximumbedrag niet van toepassing.
§ 2. Wanneer de betalingsdienstaanbieder van de betaler geen sterke cliëntauthenticatie verlangt, draagt de betaler geen eventuele financiële verliezen, tenzij de betaler frauduleus heeft gehandeld.
Ingeval sterke cliëntauthenticatie door de begunstigde of de betalingsdienstaanbieder van de begunstigde niet wordt aanvaard, wordt de door de betalingsdienst-aanbieder van de betaler geleden financiële schade door hem vergoed.
§ 3. Na de kennisgeving overeenkomstig artikel VII.38, § 1, 2°, heeft het gebruik van het verloren, gestolen of wederrechtelijk toegeëigende betaalinstrument geen financiële gevolgen voor de betaler, tenzij de betalingsdienstaanbieder bewijst dat de betaler bedrieglijk heeft gehandeld.
§ 4. De bewijslast inzake bedrog, opzet of grove nalatigheid komt aan de betalingsdienstaanbieder toe.
Onverminderd de toepassing van het derde lid, worden onder andere beschouwd als grove nalatigheid zoals bedoeld in § 1, het feit, voor de betaler, zijn gepersonaliseerde veiligheidsgegevens, zoals zijn identificatienummer of enige andere code in een gemakkelijk herkenbare vorm te noteren, en met name op het betaalinstrument of op een voorwerp of een document dat de betaler bij het instrument bewaart of met dat instrument bij zich draagt, alsook het feit van de betalingsdienstaanbieder, of de door laatstgenoemde aangeduide entiteit, niet onverwijld in kennis te hebben gesteld van het verlies of de diefstal overeenkomstig artikel VII.38, § 1, 2°.
Wat de beoordeling van de nalatigheid betreft, houdt de rechter rekening met het geheel van de feitelijke omstandigheden. Het produceren door de betalingsdienstaanbieder van de registraties bedoeld in artikel VII.42 en het gebruik van het betaalmiddel met de code die enkel door de betalingsdienstgebruiker is gekend, vormen geen voldoende vermoeden van nalatigheid vanwege deze laatste.] 1”
Een eerste belangrijke regel is het feit dat wie slachtoffer wordt van “phishing” in principe enkel aansprakelijk is voor een bedrag van maximaal EUR 50,00 wanneer er sprake is van een verloren of gestolen bankkaart of het onrechtmatig gebruik van een bankrekening vb. naar aanleiding van een geval van “phishing”.
De eeuwige uitzondering hierop is het geval waarbij het “slachtoffer” frauduleus of opzettelijk heeft gehandeld dan wel grof nalatig is geweest.
Van groot belang is het feit dat artikel VII.44 uitdrukkelijk bepaalt dat de bewijslast inzake bedrog, opzet of grove nalatigheid toekomt aan de bank.
Tot slot geeft het artikel een voorbeeld van grove nalatigheid, met name het geval waarbij het slachtoffer de code vb. op de bankkaart noteert of op een document dat het slachtoffer bij het instrument bewaart.
Eveneens van groot belang is de laatste zin van artikel 7.44.
In de praktijk is het immers zo dat de bank vaak haar aansprakelijkheid tracht te ontlopen. De bank beweert dan dat er sprake is van een vermoeden van grove nalatigheid gelet op het feit dat er gebruik werd gemaakt van de juiste geheime code. Volgens de bank kan het dan niet anders dat het slachtoffer deze code medegedeeld heeft aan de dader.
Artikel VII.44 stelt uitdrukkelijk dat een dergelijk standpunt niet ingenomen mag worden en dat het loutere feit dat de juiste geheime code werd gebruikt niet volstaat als vermoeden van grove nalatigheid.
Zoals U kan zien is het in de praktijk zeer belangrijk om U te laten bijstaan door een advocaat wanneer U het slachtoffer bent geworden van phishing.
Heeft U vragen over strafrecht, fraude in het algemeen of “phishing” in het bijzonder?
Contacteer Peterfreund & Associates, uw advocatenbureau te Antwerpen.