RECHTBANK Amsterdam
Zaaknummer: C/13/743632 / HA ZA 23-1121
[eisende partij]
,
wonende te [woonplaats] ,
eisende partij (hierna: [eisende partij] ) ,
advocaat: mr. J.B. Maliepaard,
de besloten vennootschap met beperkte aansprakelijkheid,
BUNQ B.V.,
gevestigd te Amsterdam,
gedaagde partij (hierna: de Bank),
advocaat: mr. L. Stortelder.
1 De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 8 december 2023 met producties 1 tot en met 10,
- de conclusie van antwoord met producties 1 tot en met 9,
- het tussenvonnis van 28 februari 2024 waarin een mondelinge behandeling is bepaald,
- het proces-verbaal van de mondelinge behandeling van 29 april 2024 en de daarin vermelde stukken.
1.2.
Ten slotte is vonnis bepaald.
2 De feiten
2.1.
[eisende partij] is het slachtoffer geworden van phishing fraude.
2.2.
[eisende partij] bankiert bij de Bank, die haar diensten online aanbiedt. [eisende partij] heeft toegang tot haar persoonlijke bankomgeving door in te loggen op een gekoppeld apparaat met (i) haar e-mailadres of telefoonnummer en (ii) een zes-cijferige pincode.
2.3.
Op 7 juli 2022 om 19:54 uur ontving [eisende partij] een sms-bericht (hierna: het phishing-bericht) met de tekst:
‘Beste klant,
In ons systeem hebben wij gemerkt dat uw gegevens niet volledig geverifieerd zijn.
Voorkom blokkade: https://actualiteitscheck.com/’
2.4.
[eisende partij] heeft bovenstaande link geopend die haar naar een website bracht. Op die website heeft [eisende partij] haar persoonlijke inloggegevens van de Bank ingevuld.
2.5.
Dezelfde avond om 22:20 uur ontving [eisende partij] het volgende sms-bericht, ditmaal van de Bank (hierna: het bankbericht):
‘Tap this link to confirm your login on a new device. NEVER share it with anyone. bunq and its employees will never ask you to share this link, and bunq will never call you [link]’
2.6.
Nog steeds dezelfde avond om 22:45 uur ontving [eisende partij] het volgende e-mailbericht van de Bank, naar aanleiding van een nieuw gekoppelde iPhone vanaf een nieuw IP-adres:
‘Hey [voornaam [eisende partij] ],
We zien dat je net bent ingelogd op iOS: iPhone en willen even checken of jij het echt bent.
Als je niet onlangs op een nieuw toestel bent ingelogd en denkt dat dit iemand anders is geweest, verander dan zo snel mogelijk je inloggegevens in de app onder [link] Beveiliging & Instellingen. Als je geen toegang meer tot je bunq account hebt, neem dan contact op met ons support team op [link] support@bunq.com.
Cheers,
bunq
Bank of the free’
2.7.
Vanaf het moment dat een nieuw apparaat wordt gekoppeld aan de online bankomgeving van een klant, hanteert de Bank een afkoelingsperiode van 24 uur voor het verrichten van transacties boven de € 500 en het wijzigen van persoonsgegevens zoals e-mailadres en telefoonnummer.
2.8.
Op 8 juli 2022 om 22:34 uur is vanaf de nieuw gekoppelde iPhone ingelogd op de online bankomgeving van [eisende partij] en is haar e-mailadres gewijzigd naar [emailadres]
2.9.
Niet veel later, op 8 juli 2022 tussen 22:37 en 22:51 uur, is het volledige saldo van [eisende partij] van € 33.190 overgeboekt naar een buitenlandse rekening van Finlux Tech Pay LTD (hierna: Finlux). Ook is in datzelfde tijdsbestek € 10.985 van derden op [eisende partij] rekening bijgeschreven en overgemaakt naar Finlux, waarmee in totaal deze avond € 44.175 van [eisende partij] rekening is afgeschreven.
4 De beoordeling
4.1.
In de kern gaat deze zaak over de vraag of de Bank het bedrag van € 33.190 aan [eisende partij] moet vergoeden, dat zij is verloren als gevolg van phishing fraude. De rechtbank oordeelt van niet en licht dat hierna toe.
algemene risicoverschuiving
4.2.
Het meest verstrekkende standpunt van [eisende partij] is het subsidiaire beroep op de zorgplicht van de Bank met de volgende onderbouwing. Banken moeten in vergaande mate verantwoordelijk worden gehouden als het gaat om phishing fraude, omdat banksystemen grootschalig falen door onvoldoende rekening te houden met het feit dat mensen zwakke schakels zijn en onvoldoende inspelen op hun onoplettendheid. De trucs van oplichters worden steeds geraffineerder en banken krijgen dat eersterangs mee, zodat zij dit kunnen en moeten bijbenen met de ontwikkeling van hun beveiligingssystemen. Als in het verleden een bankoverval of bankroof plaatsvond, bijvoorbeeld door gemaskerde personen die door dreiging met wapens de bankmedewerkers dwongen om contact geld te verstrekken, dan werd de bank beroofd en niet de rekeninghouders. Het feit dat rekeninghouders in plaats van banken van deze praktijken de dupe worden, zorgt voor een onwenselijke verschuiving van risico.
4.3.
Dit standpunt leidt niet tot toewijzing van de vordering. Het gaat in deze zaak om de vraag of de Bank in dit specifieke geval voldoende veiligheidsmaatregelen heeft genomen om [eisende partij] te beschermen tegen phishing fraude. Het algemeen verwoorde standpunt over ongewenste risicoverschuiving, niet concreet verankerd in een wet, levert geen antwoord op voor die vraag.
niet toegestane betaling (7:522 lid 2 BW)
4.4.
In boek zeven van het Burgerlijk Wetboek (BW) is in titel 7b een wettelijk kader opgenomen over het vereiste van instemming bij betalingstransacties en de gevolgen van een gebrek aan instemming. Bij de Bank kan een klant deze instemming verlenen door in te loggen op een vooraf gekoppeld apparaat met een vooraf opgegeven e-mailadres of telefoonnummer en een zes-cijferige pincode. Deze route is met de overboekingen van in totaal € 44.175 bewandeld, maar volgens [eisende partij] heeft zij dat niet zelf gedaan. Iemand anders heeft namelijk de controle over haar bankomgeving als gevolg van phishing fraude overgenomen. Dit wordt bevestigd door de stukken van de Bank waaruit volgt dat er vanaf een nieuw IP-adres een nieuwe iPhone (op 7 juli 2022) en een nieuw e-mailadres (op 8 juli 2022) zijn gekoppeld aan [eisende partij] online bankomgeving. In het licht van deze feiten staat tussen partijen voldoende vast dat [eisende partij] zelf geen instemming heeft gegeven voor de betreffende betalingen. De betalingen moeten daarom als niet toegestaan worden aangemerkt als bedoeld in artikel 7:522 lid 2 BW.
4.5.
Uitgangspunt is dat de betaaldienstverlener bij een niet toegestane betaling het geld terugstort (artikel 7:528 lid 1 BW), maar uitzondering daarop is het geval dat de betaler frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer bepaalde verplichtingen niet is nagekomen (artikel 7:529 lid 1 BW). Deze verplichtingen gaan over een veilig gebruik van een betaalinstrument, waaronder valt het gebruik overeenkomstig de voorwaarden die op de uitgifte en het gebruik van een betaalinstrument van toepassing zijn (artikel 7:524 lid 1 aanhef en onder a BW). De Bank beroept zich op deze uitzondering.
4.6.
In de algemene voorwaarden van de Bank staat onder meer:
‘
(…) Algemene beveiliging van je account
(…)
Om je op weg te helpen hebben wij veiligheidsvoorschriften opgesteld. Onderstaand de belangrijkste voorschriften:
- houd je inlogcodes en andere beveiligingsfeatures strikt geheim, deel ze niet met anderen en gebruik ze nooit ergens anders dan in de officiële bunq apps of in onze officiële web interface;
- (…)
- controleer je account in ieder geval eens per twee weken;
- breng jezelf op de hoogte van veelvoorkomende (online) oplichtingspraktijken zoals phishing;
- meld onregelmatigheden altijd direct en volg onze instructies.
Wij zullen nooit om jouw inlogcodes of andere zaken gerelateerd aan de beveiliging van je account vragen via de telefoon, email of WhatsApp. Mocht je berichten van ons ontvangen die je niet (helemaal) vertrouwt, neem dan alsjeblieft onmiddellijk contact met ons op via de support chat. Mocht je ooit berichten ontvangen van een verdacht telefoonnummer of e-mailadres die claimen van bunq te zijn, klik dan alsjeblieft niet op een link, verstrek geen persoonlijke informatie en deel geen inloggegevens via zo’n link en meld het onmiddellijk aan ons.
Wees je alsjeblieft bewust van phishing. Phishing betreft andere mensen die proberen om jouw inlogcodes of andere vertrouwelijke informatie te verkrijgen. (…) Klik nooit op links die je niet herkent en vul nooit gegevens in op websites die je niet bekend voorkomen. (…)
(…)
(…) Zorgplicht
Algemeen
Wij verwachten verder dat je gebruik maakt van onze producten en diensten, voor je eigen bestwil en die van anderen, met zorg en zonder misbruik. Onder misbruik verstaan wij illegale handelingen, handelen in strijd met deze algemene voorwaarden en elke actie die ons (onze activiteiten/plannen/reputatie), onze gebruikers of anderen kunnen schaden. Jouw plicht omvat, maar is niet gelimiteerd tot het volgende:
- (…)
- Controleer regelmatig je account en breng ons onmiddellijk op de hoogte indien je iets tegenkomt of andere problemen ervaart;
- Volg de veiligheidsvoorschriften en gezond verstand bij het gebruik van je bunq account, de bunq app, de Together community of een ander product of service van bunq.’
(…)’
4.7.
Hierna wordt de vernietigingsvordering beoordeeld.
geen vernietiging op grond van oneerlijk of onredelijk bezwarende bedingen
4.8.
Op grond van artikel 6:233 aanhef en onder a BW is een onredelijk bezwarend beding in de algemene voorwaarden vernietigbaar. Omdat [eisende partij] consument is, moet deze bepaling richtlijnconform worden uitgelegd op basis van de richtlijn oneerlijke bedingen.1 Dit betekent volgens artikel 3 lid 1 van deze richtlijn dat de bedingen vernietigbaar zijn als ze, in strijd met de goede trouw, het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van de partijen ten nadele van de consument aanzienlijk verstoren.
4.9.
Het beroep van [eisende partij] op de vernietiging van deze algemene voorwaarden wordt verworpen. In tegenstelling tot [eisende partij] leest de rechtbank in de hierboven genoemde artikelen van de algemene voorwaarden niet het afschuiven van verplichtingen ter voorkoming van financieel gevaar voor rekeninghouders of derden, met als gevolg dat [eisende partij] zeer vergaande verlichtingen verkrijgt en de eigen verantwoordelijkheid van de Bank wordt verlicht. Deze voorwaarden tasten de zorgplicht van de Bank niet aan, maar wijzen expliciet op de eigen verantwoordelijk van klanten die daarnaast ook bestaat, ter voorkoming van schade als gevolg van phishing door de klant op de werkwijze en gevaren van phishing te wijzen. Omdat phishing een oplichtingstruc is waarbij het slagen afhankelijk is van de mate waarin de rekeninghouder misleid wordt, is het bewust maken van klanten juist een zeer voor de hand liggend preventiemiddel. Voor zover [eisende partij] betoogt dat het oneerlijk is dat de Bank ervoor kiest om klanten via de weg van algemene voorwaarden op dit gevaar te attenderen – waarvan algemeen bekend is dat deze doorgaans niet worden gelezen – kan dit betoog [eisende partij] ook niet baten. De Bank heeft deze veiligheidsinstructies tevens via haar website en gedragsregels aan klanten gecommuniceerd. Daarnaast bevatten de bepalingen uit de algemene voorwaarden op zichzelf geen evenwicht verstorende gevolgen die vergelijkbaar zijn met de bedingen opgenomen in grijze, zwarte of blauwe lijsten, zoals een algehele exoneratie of uitsluiting van (consumenten)rechten. Tot slot is van belang dat een geslaagd beroep van de Bank op artikel 7:529 lid 1 BW naast het overschrijden van veiligheidsvoorschriften nog steeds vereist dat sprake is van opzet of grove nalatigheid van de klant (zie onder 4.5). De conclusie is dat in dit geval geen verstoring van het evenwicht plaatsvindt tussen de rechten en verplichtingen van partijen. De hierboven genoemde artikelen van de algemene voorwaarden zijn dan ook niet oneerlijk of onredelijk bezwarend, waardoor de vernietigingsvordering zal worden afgewezen.
wel sprake van grove nalatigheid (7:529 lid 1 BW)
4.10.
[eisende partij] heeft zich niet aan de veiligheidsvoorschriften uit de hiervoor geciteerde algemene voorwaarden van de Bank gehouden, onder meer door het invullen van haar persoonlijke inloggegevens op een website die niet van de Bank was. Dit wordt op zichzelf niet betwist. De vraag is vervolgens of dit opzettelijk of met grove nalatigheid is geweest nu de Bank zich op artikel 7:529 lid 1 BW beroept. [eisende partij] betwist dat sprake is geweest van opzet of grove nalatigheid en voert aan dat de informele tekst uit het phishing-bericht dé manier van communiceren van de Bank was en dat ook de website waarop zij terechtkwam vanuit de link uit het phishing-bericht er vertrouwd uitzag.
4.11.
Anders dan de Bank stelt, heeft [eisende partij] hiermee geen verzwaarde stelplicht geschonden door onvoldoende inzicht te geven in hoe vertrouwelijke gegevens in handen van derden zijn gekomen. In de zaak waar de Bank ter onderbouwing naar verwijst, volstond de eisende partij met een enkele, niet verder onderbouwde, betwisting dat de rekeninghouder ook niet wist hoe een ander de beschikking had verkregen over zijn inlogcodes en beveiligingsfeatures.2 In onderhavige zaak heeft [eisende partij] voldoende toegelicht dat zij zelf – in de veronderstelling dat zij met de Bank handelde – haar gegevens heeft achtergelaten op de website van een fraudeur.
4.12.
De rechtbank volgt het beroep van de Bank op grove nalatigheid aan de kant van [eisende partij] vanwege het volgende. Op zich is invoelbaar dat [eisende partij] na ontvangst van het phishing-bericht (7 juli 2022, 19:54 uur) op de link heeft geklikt in de veronderstelling dat ze met de Bank van doen had. Dit kan als een menselijke fout gezien worden die ook anderen had kunnen overkomen. Maar vervolgens had [eisende partij] haar fout kunnen inzien en herstellen en dit had ook van haar verwacht mogen worden. Daar gaf het systeem van de Bank [eisende partij] namelijk voldoende tijd en gelegenheid voor. [eisende partij] ontving dezelfde avond (22:20) het bankbericht over een new device terwijl daar bij [eisende partij] geen sprake van was. Vervolgens heeft de Bank dezelfde avond om 22:45 uur [eisende partij] gemaild met het waarschuwingsbericht dat er met een nieuwe iPhone was ingelogd. [eisende partij] had toen 24 uur de tijd om deze signalen op te pakken en zich te realiseren dat er “iets” met een nieuw apparaat gebeurde, terwijl [eisende partij] geen nieuw apparaat probeerde te koppelen. Na deze afkoelingsperiode werd het in de avond van 8 juli 2022 voor de fraudeur mogelijk om op de nieuw gekoppelde iPhone in te loggen met [eisende partij] persoonlijke codes, haar e-mailadres te wijzigen en transacties van boven de € 500 te verrichten als gevolg waarvan [eisende partij] haar volledige saldo verloor. Kortom, de combinatie van de volgende factoren maakt dat het systeem van de Bank in dit geval voldoende heeft gedaan om [eisende partij] tegen een menselijke fout te beschermen op het gebied van phishing:
-
de diverse vooraf gedeelde algemene waarschuwingen en veiligheidsvoorschriften om bekendheid met phishing preventief onder de aandacht van haar klanten te brengen,
-
het verzenden van een bericht met het verzoek te bevestigen dat een new device gekoppeld moet worden (het bankbericht),
-
de waarschuwingsmail die direct dezelfde avond naar [eisende partij] werd verstuurd,
-
e afkoelingsperiode van 24 uur voor transacties van meer dan € 500 vanaf een nieuw gekoppeld apparaat.
4.13.
Bij deze stand van zaken is de Bank niet verplicht om, in plaats van waarschuwingsberichten actief te bellen (zoals [eisende partij] op zitting nog heeft aangevoerd). Het staat de Bank vrij om ter voorkoming van helpdeskfraude geen telefonisch contact met klanten te voeren en daarom slechts via andere kanalen informatie te verstrekken. Op die manier weten klanten dat het per definitie een fraudepoging is als iemand belt die zich voordoet als van de Bank, omdat de Bank dat nooit doet (zoals door de Bank in reactie is toegelicht).
4.14.
Het vorenstaande leidt tot de slotsom dat de niet toegestane betaling het gevolg is van grove nalatigheid bij een onveilig gebruik van het betaalinstrument, waardoor het beroep van de Bank op artikel 7:529 lid 1 BW slaagt. Uit het voorgaande volgt ook dat toerekenbaar tekortschieten van de Bank in haar zorgplicht niet kan worden aangenomen, nu niet is gebleken dat zij in dit geval haar systemen anders had moeten inrichten. Dat betekent dat [eisende partij] zelf de verliezen draagt van de niet toegestane betaling. De hoofdsom en nevenvorderingen worden dus afgewezen.
4.15.
[eisende partij] zal als de in het ongelijk gestelde partij worden veroordeeld in de proceskosten, aan de zijde van de bank tot op heden begroot op:
- griffierecht
|
€
|
2.837
|
|
- salaris advocaat
|
€
|
1.572
|
(2 punten × € 786)
|
- nakosten
|
€
|
178
|
(plus de verhoging zoals vermeld in de beslissing)
|
Totaal
|
€
|
4.587
|
|
4.16.
De wettelijke rente over de proceskosten wordt toegewezen zoals onder de beslissing vermeld.
5 De beslissing
5.1.
wijst de vorderingen van [eisende partij] af,
5.2.
veroordeelt [eisende partij] in de proceskosten van € 4.587, te betalen binnen veertien dagen na aanschrijving daartoe. Als [eisende partij] niet tijdig aan de veroordeling voldoet en het vonnis daarna wordt betekend, dan moet [eisende partij] € 92 extra betalen plus de kosten van betekening,
5.3.
veroordeelt [eisende partij] in de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten als deze niet binnen veertien dagen na aanschrijving zijn voldaan,
5.4.
verklaart dit vonnis uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. M.L.S. Kalff, bijgestaan door mr. M.A.A. van Achterberg, griffier, en in het openbaar uitgesproken op 12 juni 2024.