Aansprakelijkheidskwesties van de bank bij phishing: Grondslagen en gevolgen van het OLG Frankfurt am Main
Het Oberlandesgericht (OLG) Frankfurt am Main moest onlangs een zaak beoordelen die, gezien de toenemende digitale aanvallen op bankklanten, van groot belang kan zijn voor de praktijk van het betalingsdienstrecht (arrest van 19.02.2024, zaaknr. 3 U 323/22). Het ging om de vraag of een kredietinstelling verplicht is een klant een geldbedrag terug te betalen dat door een zogenaamde phishing-aanval van diens rekening is overgemaakt – waarbij de klant slachtoffer werd van schadelijke software. Na grondig juridisch onderzoek besliste het OLG dat de bank niet aansprakelijk is wanneer de bankklant aan grove nalatigheid te wijten is.
Uitgangspunt en feiten
Centraal in de procedure stond een overboeking die een bankklant had geautoriseerd na het ontvangen van een ogenschijnlijk echte e-mail. Deze leidde hem naar een vervalste website, waar hij gevoelige authenticatiegegevens prijsgaf. Als gevolg daarvan werd een groot geldbedrag zonder geldige reden op een buitenlandse rekening overgemaakt.
De rekeninghouder voerde achteraf aan dat de bank het bedrag onrechtmatig van zijn rekening had afgeschreven zonder dat er sprake was van een rechtsgeldige betalingsautorisatie. Op grond van §§ 675u, 675y BGB eiste hij terugbetaling van het volledige overgemaakte bedrag.
Norm van grove nalatigheid
Het OLG Frankfurt am Main onderzocht eerst of er contractuele of wettelijke aanspraakgronden bestonden. Centraal stond de vraag naar autorisatie volgens § 675j BGB. Bij betalingen die duidelijk door de rekeninghouder zijn geïnitieerd, is voor een terugbetaling doorslaggevend of er sprake is van grove nalatigheid bij het geheimhouden van de authenticatiemiddelen (§ 675v lid 3 nr. 2 BGB).
Geen recht op schadevergoeding bij grof nalatig gedrag
De rechtbank maakte in haar uitspraak duidelijk dat de bankklant zelf verantwoordelijk is voor het geleden verlies als zijn gedrag als grof nalatig moet worden beschouwd. Een schending van fundamentele zorgvuldigheidsplichten bij het omgaan met authenticatiemiddelen is daarvoor reeds voldoende. Daaronder valt onder andere dat het de betaler niet te verwijten is als gevoelige veiligheidsgegevens aan derden worden doorgegeven.
In de behandelde zaak had de eiser de persoonlijk aan hem gerichte waarschuwingen van de bank tegen phishing-aanvallen in acht moeten nemen en verdachte links of websites kritisch moeten beoordelen. Het negeren van dergelijke waarschuwingen en het klakkeloos doorgeven van TAN-codes en wachtwoorden ondanks dringende aanwijzingen van de bank, wordt niet meer beschouwd als gewone nalatigheid, maar als grove nalatigheid.
Geen aansprakelijkheid van de bank
Volgens de mening van de kamer is er geen aansprakelijkheid van de betalingsdienstaanbieder wanneer de schade voortvloeit uit schending van beschermings- en zorgvuldigheidsplichten. De plicht van de bank om foutieve overboekingen te vergoeden vervalt zodra de klant zijn authenticatiemiddelen onvoldoende heeft beschermd of zelfs aan derden heeft verstrekt.
Betekenis voor bankklanten en kredietinstellingen
Praktische gevolgen voor gebruikers van betalingsdiensten
Worden veiligheidshinweisen van de bank genegeerd en leidt dit tot succesvolle phishing, dan draagt volgens de uitspraak van het OLG Frankfurt am Main in beginsel de klant het risico. Het juridische kader van § 675v BGB beschermt weliswaar de consumentenrechten, maar schiet tekort bij grof nalatig handelen.
Eisen aan veiligheidsbewustzijn
De beslissing maakt duidelijk dat banken hun informatieplichten nakomen en regelmatig moeten waarschuwen voor misleiding en risico’s. Daarnaast wordt van bankklanten verwacht dat zij aanwijzingen en technische vereisten zorgvuldig opvolgen. Wie ondanks herhaalde waarschuwingen authenticatiegegevens prijsgeeft, zet zijn recht op terugbetaling op het spel.
Rechtspolitieke en strategische duiding
Betekenis voor het preventiewerk van banken
Voor kredietinstellingen ontstaat een versterking van hun rechtspositie – mits er uitgebreide en transparante waarschuwingsmechanismen bestaan en zij het grof nalig gedrag van de klant kunnen aantonen. Het vonnis onderstreept het principe dat adequate informatieverstrekking aan klanten essentieel is ter voorkoming van betalingsfraude.
Ontwikkeling van de rechtspraak
Het vonnis past binnen een groeiend aantal uitspraken waarin rechtbanken criteria voor grove nalatigheid volgens § 675v BGB verder concretiseren. De beoordeling van het individuele geval blijft echter bepalend, omdat elk phishing-scenario eigen kenmerken heeft die bij de juridische beoordeling moeten worden meegenomen.
Bewijslast en stelplicht
Het Oberlandesgericht benadrukte dat de bank in geval van een geschil de partij is die verplicht is om volledige informatie over relevante veiligheidsaanwijzingen te verschaffen en de getroffen preventiemaatregelen te bewijzen. In ruil daarvoor moet de klant in de procedure toelichten in hoeverre hij de aanbevelingen van de bank daadwerkelijk heeft opgevolgd.
Conclusie
Het OLG Frankfurt am Main heeft met deze beslissing nieuwe accenten gezet voor de aansprakelijkheidsverdeling bij phishing-aanvallen. Bankklanten dienen zorgvuldig om te gaan met hun authenticatiegegevens en de door kredietinstellingen gegeven waarschuwingen op te volgen. Alleen dan kan in een concreet geval aansprakelijkheid van de bank worden overwogen. De uitspraak versterkt de positie van betalingsdienstaanbieders, mits grof nalatig gedrag van de klant kan worden aangetoond.
Bankklanten, bedrijven en betalingsdienstaanbieders worden nog steeds geconfronteerd met complexe juridische uitdagingen in verband met digitale financiële transacties. Juist op het snijvlak van technische veiligheidseisen en de plichten tot schadepreventie kunnen veel gedetailleerde vragen alleen per geval worden beantwoord. Voor vragen op het gebied van financieel- en bankrecht betreffende aansprakelijkheidsrisico’s en betalingsdiensten staan de Rechtsanwälte bij MTR Legal als aanspreekpunt ter beschikking.
