Rechtbank Lübeck beslist over aansprakelijkheidsverdeling bij phishing-gevallen in onlinebankieren
De rechtbank Lübeck heeft op 18 januari 2024 (zaaknr.: 3 O 83/23) een principiële beslissing genomen over de voorwaarden waaronder financiële instellingen verplicht zijn tot terugbetaling na een geslaagde phishing-aanval. De kernvraag was of een betalingsdienstverlener ook aansprakelijk is wanneer de rekeninghouder zelf grof nalatig heeft gehandeld. Dit artikel belicht de belangrijkste motieven van de beslissing en plaatst het vonnis in de context van de actuele rechtspositie rond onlinebankieren.
Feiten: Phishing-aanval en onbevoegde betalingsopdracht
De onderliggende juridische procedure betrof betalingen die zijn gedaan in samenhang met een phishing-incident. De eiseres, houder van een betaalrekening, ontving een bedrieglijk echt ogend bericht waarvan de afzender ogenschijnlijk haar bank was. Via een daarin opgenomen link kwam zij op een vervalste website, waar zij vervolgens zowel haar inloggegevens als een TAN invoerde. Daarna werden overboekingen uitgevoerd die door de eiseres echter niet waren geautoriseerd.
Nadat de eiseres het incident opmerkte, herriep zij de betreffende transacties en eiste van de bank terugbetaling. Deze weigerde compensatie onder verwijzing naar het grof nalige gedrag van de eiseres. De zaak kwam vervolgens voor de rechtbank Lübeck.
Juridische beoordeling: zorgvuldigheidsplichten en aansprakelijkheidsverdeling
Grondslagen van aansprakelijkheid van betalingsdienstverleners
Volgens § 675u BGB zijn betalingsdienstverleners in beginsel verplicht hun klant te compenseren voor schade als gevolg van niet-geautoriseerde betalingsopdrachten. Er is echter een doorslaggevende uitzondering: blijkt dat de rekeninghouder grof nalatig heeft gehandeld, dan vervalt het recht op terugbetaling. Bepalend is in hoeverre de klant zich aan de fundamentele veiligheidsregels heeft gehouden die bij onlinebankieren gevolgd moeten worden.
Grove nalatigheid in de context van onlinebankieren
Volgens vaste rechtspraak is sprake van grove nalatigheid wanneer de vereiste zorgvuldigheid in het verkeer in bijzonder ernstige mate wordt geschonden. In phishing-situaties doet zich zo’n grove plichtsverzuim doorgaans voor wanneer gevoelige toegangsgegevens (PIN, TAN) op websites worden ingevoerd zonder voldoende te controleren of deze wel authentiek zijn.
In dit geval oordeelde de rechtbank dat de eiseres haar toegangsgegevens en een eenmalig te gebruiken TAN op een valse website had ingevoerd, die zich slechts via kleine details onderscheidde van de echte site van de bank. Het feit dat in de reguliere voorwaarden en in de veiligheidsinstructies van de betalingsdienstverlener uitdrukkelijk was gewezen op het gevaar van phishing en het belang van uiterste zorgvuldigheid bij het omgaan met toegangsgegevens, versterkte uiteindelijk de aanname van grove nalatigheid.
Geen recht op schadevergoeding bij grof nalatig gedrag
Gezien deze omstandigheden maakte de rechtbank duidelijk dat de bank in dit concrete geval niet verplicht is tot terugbetaling van de afgeschreven bedragen. Het recht op schadevergoeding vervalt volgens § 675v lid 3 nr. 2 BGB, omdat de eiseres haar zorgplicht “in aanzienlijke mate” heeft verwaarloosd en daarmee wezenlijk heeft bijgedragen aan het ontstaan van de schade.
Betekenis van de beslissing en actuele ontwikkelingen in het betalingsdienstrecht
Gevolgen voor gebruikers van betalingsdiensten
Het vonnis onderstreept de inmiddels geldende opvatting dat de verantwoordelijkheid voor de bescherming van toegangsgegevens grotendeels bij de rekeninghouders ligt. Dat betekent echter niet dat banken volledig zijn vrijgesteld van iedere aansprakelijkheid: ontstaat er schade ondanks zorgvuldig handelen, dan blijft de betalingsdienstverlener principieel verplicht tot terugbetaling. Doorslaggevend is altijd een zorgvuldige beoordeling van het individuele geval – vooral met het oog op bestaande beveiligingsmaatregelen en de herkenbare waarschuwingssignalen van een phishing-aanval.
Versterking van preventiemechanismen
Het vonnis maakt ook duidelijk dat de eisen aan gebruikers van onlinebankieren zijn toegenomen. Technische ontwikkelingen zoals tweefactorauthenticatie en voortdurende voorlichtingscampagnes zijn bij dienstverleners steeds vaker standaard – maar ontslaan gebruikers niet van hun verantwoordelijkheid om de aangeboden beveiligingsmechanismen zorgvuldig te gebruiken en zich te informeren over actuele risico’s.
Juridisch kader en vooruitzicht
Gezien de voortdurend evoluerende fraudemethoden in het digitale betalingsverkeer, preciseren de rechtbanken voortdurend de maatstaven waaraan nalatigheid of grove nalatigheid kan worden aangenomen. De beslissing van de rechtbank Lübeck past in een reeks arresten die duidelijk onderscheid maken tussen gewone fouten en ernstige plichtsverzuimen.
Conclusie en tips voor getroffen rekeninghouders
Het vonnis van de rechtbank Lübeck bevestigt opnieuw dat het recht op terugbetaling van niet-geautoriseerde transacties bij grove nalatigheid komt te vervallen. In de praktijk is een zorgvuldige beoordeling van de individuele omstandigheden van groot belang. Vooral rekeninghouders doen er goed aan voorbereid te zijn op nieuwe fraudemethoden en het beheer van toegangsgegevens uiterst zorgvuldig te blijven behandelen.
Bij onduidelijkheden of complexe vraagstukken rond phishing-incidenten, schadevergoedingsclaims of de uitleg van actuele regels inzake betalingsdiensten, staan de advocaten van MTR Legal met uitgebreide ervaring in bankrecht en aanverwante rechtsgebieden als deskundige gesprekspartner tot uw beschikking.
