2018.159

THEMA

Betalingen en betaalrekeningen – verrichtingen op afstand – betalingen via PC – betwiste verrichtingen

ADVIES

Aanwezig :
De heer A. Van Oevelen, Voorzitter ;
De heren J. Vannerom, R. Steennot, A. Guigui, leden
Mevrouw N. Spruyt, lid.

Datum : 20 maart 2018

1. BESCHRIJVING VAN DE KLACHT
Op 12.10.2017 heeft verzoeker online willen betalen voor het downloaden van een key generator. Daarbij heeft hij per vergissing zijn debetkaart gebruikt in plaats van zijn kredietkaart. De debetkaart gebruikte hij normaalgezien enkel voor de betaling van zijn autolening.
Met deze kaart zijn in totaal 4 verrichtingen geweest: de eerste heeft verzoeker zelf uitgevoerd, maar verzoeker werd wel gedebiteerd voor een veel hoger bedrag dan de bedoeling was. Hij diende ongeveer 30 EUR te betalen voor het downloaden en geen 500 EUR, zijnde het bedrag waarmee zijn rekening uiteindelijk gedebiteerd werd.
De 3 latere verrichtingen heeft hij zelf niet uitgevoerd. Hij vraagt dan ook dat de bank tussenkomt in zijn verlies.
2. STANDPUNT VAN DE BANK
De bank heeft de zaak onderzocht. Zij heeft vastgesteld dat al de 4 verrichtingen op dezelfde PC gebeurden, dus zowel de eerste verrichting die door verzoeker niet betwist wordt, als de 3 latere verrichtingen. Bij elke verrichting stond hetzelfde IP-adres vermeld. Onderzoek van de bank wees uit dat hij dit IP adres nog nooit eerder had gebruikt. De bank wijst erop dat klanten vanop gelijk welke PC kunnen inloggen op homebanking.
Daarbij werd elke verrichting met zijn kaart, geheime code en responscodes via cardreader bevestigd. De transacties werden uitgevoerd via het 3DSecure systeem van Maestro.
Volgens de bank gebeurden de 4 verrichtingen ofwel door verzoeker zelf, ofwel door iemand uit zijn omgeving die toegang had tot dezelfde PC, en tot zijn kaart. Deze persoon moet ook zijn geheime code hebben kunnen achterhalen.
In deze omstandigheden meent de bank dat zij niet verplicht is om tussen te komen in het verlies van verzoeker.
3. ADVIES VAN DE EXPERTEN
Het College van Experten wijst erop dat, overeenkomstig artikel VII.36, § 3, derde lid, eerste zin Wetboek van Economisch Recht, er bij de beoordeling van de nalatigheid van de betalingsdienstgebruiker steeds rekening moet worden gehouden met de feitelijke omstandigheden. Aldus moet steeds geval per geval, rekening houdend met het geheel van de feiten, geoordeeld worden of de betalingsdienstgebruiker grof nalatig was. De bewijslast voor de grove nalatigheid rust op de betalingsdienstaanbieder.
Verzoeker trachtte op internet een 'key generator' te downloaden. Om het installatiescherm te kunnen openen, moest eerst een betaling van 30 euro worden uitgevoerd. De betalingstransactie werd geïnitieerd via een beveiligde betaalpagina van de bank. De betaling werd bevestigd door middel van de Cardreader van de bank en de verkregen beveiligde responscode. Finaal werd de installatie afgebroken en het bedrag van 30 euro werd niet van de rekening gedebiteerd. In werkelijkheid werd de responscode gebruikt om op afstand – meer bepaald op een ander toestel – en buiten medeweten van de betalingsdienstgebruiker de online-banking-app van de bank te downloaden en te installeren. Het betreft een zogenaamde cardreader-fraude, een nieuwe, onrustwekkende vorm van fraude met betalingsinstrumenten.
Via deze fraude werden de vier litigieuze betalingen voor een totaalbedrag van 1.244,40 euro uitgevoerd op 12 en 13 oktober 2017. Hoewel de bank hierover haar standpunt enkele malen wijzigde, bevestigde zij uiteindelijk dat de vier litigieuze betalingen alle 3d-secure werden geïnitieerd en uitgevoerd. Voor een 3DSecure betaling is het volgende nodig:
• ofwel de bankkaart van de cliënt; de geheime code van bankkaart van de cliënt; een card reader en de OTP code;
• ofwel de bancontact app, die tevoren reeds geïnstalleerd werd op de smartbanking app van de cliënt door gebruik van bankkaart, geheime code kaart, geheime code smart banking, card reader en OTP code.

Op 15 oktober 2017, na het ontdekken van de niet-toegestane betalingstransactie, verwittigde verzoeker – luidens het proces-verbaal van 15 oktober 2017 – Cardstop. Tevens werd klacht tegen onbekenden ingediend bij de politie.
Het feit dat verzoeker al dan niet onzorgvuldig handelde door misschien op zijn PC een software-programma te downloaden, doet in deze zaak niet ter zake en er wordt evenmin een eventuele onzorgvuldigheid van verzoeker aangetoond. Integendeel, luidens artikel VII.36, § 3 Wetboek van Economisch Recht acht het college dat de bank – op wie de wettelijke bewijslast rust - faalt in haar bewijs dat verzoeker grof nalatig was.
Na aftrek van het franchisebedrag van 150 euro moet de bank verzoeker aldus het restbedrag van 1.094,40 euro terugbetalen. Dit volgt uit de toepassing van artikel VII.36, § 1 Wetboek van Economisch Recht.
4. BESLUIT VAN DE OMBUDSMAN
De Ombudsman heeft kennisgenomen van het advies van het College en sluit zich hierbij aan. De Ombudsman nodigt de bank dan ook uit om het bedrag van 1.094,40 EUR op de rekening van verzoeker te storten.
De Ombudsman heeft aan de bank gevraagd om binnen de 30 dagen mee te delen welk gevolg ze aan deze aanbeveling geeft.