De Rechtbank München moest recentelijk beoordelen of een bankklante na een niet-geautoriseerde betalingsopdracht recht heeft op terugbetaling door haar kredietinstelling, wanneer zij een voor de transactiebevestiging benodigde sms-TAN aan onbekende derden heeft doorgegeven (zaaknr.: 271 C 16677/24, vonnis van 14 mei 2024). Dit vonnis benadrukt het doorslaggevende belang van de zorgvuldigheidsnorm bij onlinebankieren alsook de centrale beginselen van het betalingsdienstraamcontractenrecht.
Feiten en achtergrond van het geschil
Een cliënte had via haar onlinebankieren-account een groot bedrag verloren aan tot dan toe onbekende derden. De overboeking werd uitgevoerd na ontvangst van een sms-TAN, die de klant aan een persoon buiten haar huishouden had doorgegeven. Korte tijd later merkte zij de niet-geautoriseerde betaling op en eiste van de uitvoerende bank schadevergoeding met het argument dat zij slachtoffer was geworden van een misleidende phishingaanval en niet had kunnen zien dat sprake was van frauduleus contact. Volgens de klant draagt de bank het risico van zulke geraffineerde manipulatietrucs.
Kernpunten van de rechterlijke beslissing
Relevantie van de Wet toezicht betalingsdiensten (ZAG) en § 675u BGB
In de motivering van het vonnis stelde de rechtbank duidelijk dat volgens § 675u BGB in verband met elektronische betalingsopdrachten de bank in principe het betaalde bedrag aan de klant moet vergoeden als het om een niet-geautoriseerde betaling gaat. Voorwaarde daarvoor is echter dat de klant de betaling niet zelf heeft geautoriseerd of althans niet grof nalatig heeft bijgedragen aan misbruik van zijn authenticatiemiddelen.
Begrip en belang van authenticatie bij onlinebankieren
Bij moderne banksystemen is tweefactorauthenticatie, bijvoorbeeld door een combinatie van persoonlijke identificatie (zoals pincode) en een eenmalige transactiecode (TAN), de norm. Het overdragen van deze toegangsgegevens, en met name de TAN, aan derden is uitdrukkelijk verboden en strijdig met de zorgvuldigheidsplicht die op elke rekeninghouder rust. De eiseres had de sms-TAN, ondanks noodzakelijke waarschuwingen en duidelijke instructies van de bank over de vertrouwelijkheid daarvan, alsnog doorgestuurd.
Grof nalatig gedrag als uitsluitingsgrond voor het recht op vergoeding
De rechtbank beschouwde het handelen van de klant als grof nalatig gedrag, hetgeen volgens § 675v lid 3 BGB een vorderbare schade uitsluit. De rechters lichtten toe dat banken hun klanten door duidelijke waarschuwingen en veiligheidsinformatie er regelmatig op wijzen dat TAN-codes nooit aan derden mogen worden doorgegeven, ook niet op telefonische of elektronische aanvraag. Wie deze beschermingsmaatregelen negeert en toch de meest gevoelige toegangsgegevens prijsgeeft, neemt bewust en in aanzienlijke mate het risico van een door fraude veroorzaakte betaling. In zulke gevallen vervalt het recht op vergoeding door de bank.
Gevolgen voor de contractuele relatie tussen rekeninghouder en bank
Verdeling van het risico bij betalingsverkeer
Het vonnis bevestigt dat bij het gebruik van moderne onlinebanken een gedeeltelijke risico-overdracht op de rekeninghouder plaatsvindt zodra deze de contractueel overeengekomen beveiligingsmaatregelen nalatig niet in acht neemt. Zonder grof nalatig gedrag zou de bewijslast en het risico volgens § 675u BGB nog steeds bij de bank liggen.
Relevant voor consumentenbescherming
Hoewel de regels rond het betalingsdienstraamcontract de consument ruim moeten beschermen, hoort daar volgens de rechtbank in belangrijke mate ook de actieve medewerking van de klant zelf bij. In het concrete geval had de bank aan alle wettelijke en contractuele voorlichtings- en beschermingsplichten voldaan; de klant heeft daarentegen haar contractuele nevenplicht tot zorgvuldig omgaan met authenticatiemaatregelen geschonden.
Plaatsbepaling in de algemene context en verdere aanwijzingen
De beslissing van de Rechtbank München maakt duidelijk dat bij het doorgeven van TAN-codes aan derden, in de praktijk vrijwel geen kans bestaat op succes bij vorderingen tegen de bank – onafhankelijk van hoe geraffineerd de onderliggende fraude was. De contractuele relatie binnen onlinebankieren is gebaseerd op een stilzwijgende samenwerking van zorgverplichtingen van beide contractpartijen.
Met name in de praktijk vormen phishing en andere fraudevormen een terugkerend risico voor bankklanten. De complexiteit van de beoordeling per geval vereist een zorgvuldige afweging om zowel de belangen van de bank als van de klant op passende wijze mee te nemen.
Slotopmerking
De rechtspositie met betrekking tot niet-geautoriseerde betalingen en de handelingsplichten van contractpartijen blijft onderwerp van juridische en rechterlijke besprekingen. Voor concrete juridische vragen betreffende onlinebankieren, aansprakelijkheidskwesties of betalingsverkeerrecht staan de advocaten van MTR Legal Rechtsanwälte als betrouwbare contactpersonen voor u klaar.
