2020.2837

THEMA

Betalingen en betaalrekeningen – Verrichtingen op afstand – Betalingen via PC – Betwiste verrichtingen

ADVIES

Aanwezig :

De heren J. Vannerom, R. Steennot, A. Guigui, P D’Haen, leden
Mevrouw N. Spruyt, lid.

Datum : 17 november 2020

1. KLACHT
De klacht van de verzoeker betreft de betwisting van een aantal verrichtingen met zijn zichtrekening.
Hij heeft op 15 oktober 2019 klacht neergelegd bij de politie. Uit het PV blijken volgende feiten:

- Hij is slachtoffer geworden van informaticafraude. De totale schade bedraagt 1.128,10 euro.
- Op 10 oktober 2019 ontving zijn zoon een sms op zijn persoonlijk telefoonnummer. Hierin stond vermeld dat zijn bankkaart zou vervallen en dat hij een nieuwe bankkaart kon aanvragen via een bijhorende link. Zijn zoon stelde zich hierbij geen vragen en heeft de link gevolgd.
- Vervolgens werd hem gevraagd de gegevens van zijn bankkaart, waaronder ook de pincode in te voeren. Vervolgens moest hij zijn kaart doormidden knippen en via de post terugsturen naar een specifiek vermeld adres. Zijn zoon herinnert zich het adres niet meer. De website waarnaar de link leidde, werkt ondertussen niet meer.
- Op 11 oktober 2020 heeft zijn zoon de kaart geknipt en op de post gedaan.
- Op 15 oktober 2020 ontving verzoeker een sms van de bank (evenals zijn zoon) met de melding dat zijn gegevens gebruikt waren om een app van de bank te installeren op een gsm, en met de vraag om meteen te bellen op het nummer vermeld in de sms, indien dit niet zijn zoon was geweest. Aangezien geen van beiden dit gedaan had, heeft verzoeker onmiddellijk naar dit nummer gebeld. De contactpersoon bij de bank heeft meteen de mobiele app geblokkeerd, evenals het online gebruik. Vervolgens heeft verzoeker Card Stop gecontacteerd om betrokken kaart te laten blokkeren.
- Ondertussen had hij reeds gemerkt dat verscheidene transacties hadden plaatsgevonden op zijn rekeningen. In het PV geeft hij een overzicht van de verrichtingen.
- De fraudeur is er onder andere in geslaagd overschrijvingen uit te voeren van de spaarrekening van zijn zoon naar diens zichtrekening. Hij stelt dat dit niet mogelijk zou mogen zijn, aangezien hij deze mogelijkheid door de bank heeft laten blokkeren.
Verzoeker wenst vergoed te worden.

2. STANDPUNT VAN DE BANK
De zoon van de verzoeker was 14 jaar op het ogenblik dat hij slachtoffer werd van oplichting. Hij had een sms van een onbekende ontvangen, die een fraudeur bleek te zijn, met de mededeling dat zijn bankkaart zou vervallen en dat hij tijdig een nieuwe bankkaart moest aanvragen. Deze informatie was echter niet correct want de bankkaart van zijn zoon verviel pas op 31 december 2022. Hij klikte toch op de link in het bericht, en kwam op die manier terecht op een valse webpagina die onder controle van de fraudeur stond. Wanneer een bankkaart vervalt, wordt deze automatisch vervangen en wordt de nieuwe bankkaart ruim voordien per post naar de klant opgestuurd. Nooit wordt gevraagd aan klanten om zelf een nieuwe bankkaart aan te vragen wanneer een kaart op vervaldatum komt. En al zeker niet wordt hierbij gevraagd om de pincode van de kaart in te voeren.
De bank kan moeilijk aannemen dat de zoon zijn vader of zijn moeder niet op de hoogte zou gebracht hebben dat hij zogezegd zijn bankkaart moest vervangen. De bank stelt zich de vraag of zijn zoon als 14-jarige eigenhandig een nieuwe bankkaart aanvroeg en de oude bankkaart doorknipte en per post verstuurde, zonder dat zijn ouders hiervan weet hadden. Waren de verzoeker of de moeder wel op de hoogte, hadden zij alleszins de authenticiteit van de webpagina moeten controleren aan de hand van de domeinnaam en het beveiligingscertificaat. Dit is alleszins niet gebeurd want dan zou men opgemerkt hebben dat het om een frauduleuze website ging.
In het PV staat dat zijn zoon de instructies op de valse webpagina omtrent het verzenden van zijn bankkaart volgde, en daarbij ook de gegevens van zijn bankkaart invoerde, waaronder dus ook de pincode van zijn bankkaart. Vervolgens moest zijn zoon zijn bankkaart doorknippen, waarbij ongetwijfeld de CHIP van de kaart gevrijwaard moest blijven. Nadien stuurde hij de bankkaart naar het opgegeven adres op. Meer dan waarschijnlijk ging het om een privéadres waarbij de fraudeur alleszins toegang had tot de brievenbus van dit adres.
Omdat de CHIP van de bankkaart niet was doorgeknipt en de fraudeur via de valse website de pincode kreeg, kon de fraudeur vrij over de bankkaart beschikken en alle transacties uitvoeren die zijn zoon zelf ook kon uitvoeren.
De fraudeur deed op 14 oktober 2019 om 14u50 een eerste frauduleuze transactie door 2.500 euro over te maken van de spaarrekening van zijn zoon naar diens zichtrekening. Vanuit de zichtrekening voerde de fraudeur een vijftal frauduleuze transacties uit waaronder 1 Maestro-betaling, 1 cashopname en 3 overschrijvingen met de app.
Verzoeker deelt mee dat hij de spaarrekening van zijn zoon zelf voor hem ‘geblokkeerd’ zou hebben, op een manier dat de spaarrekening niet zichtbaar was voor hem en hij er bijgevolg ook geen overschrijvingen van kon doen. Met andere woorden, de spaarrekening had ook voor de oplichter onzichtbaar moeten zijn. Dit klopt echter niet. Via parental control kunnen ouders inderdaad bepaalde rekeningen voor hun kinderen blinderen op hun bankkaart (bank Automaten) of op hun verschillende digitale applicaties Beide kanalen moeten door de ouders apart geblindeerd worden. Als ouders de spaarrekening blinderen voor de bankkaart, wordt deze immers niet automatisch geblindeerd voor de app van hun kinderen. Hij kon via parental control de spaarrekening van zijn zoon echter nog niet ‘geblindeerd’ hebben voor de app omdat zijn zoon op 14 oktober 2019 zelf nog niet met de app werkte. Het is de fraudeur die op 14 oktober 2019 voor het eerst aanmeldde in de app van zijn zoon. Hij kon dit aangezien hij, zoals gezegd, beschikte over de bankkaart en pincode van zijn zoon. Aangezien de spaarrekening niet geblindeerd was, kon de fraudeur deze ook raadplegen en misbruiken.
Bijkomend stelt de bank vast dat hij zijn zoon op 8 november 2017 een zogenaamde ‘bijzondere volmacht minderjarige’ gegeven heeft voor zowel zijn zicht- als zijn spaarrekening. Op die manier kon zijn zoon zelf al onbeperkt eigenhandig transacties doen met zowel zijn zicht- als spaarrekening. En zodoende de fraudeur dus ook. Het is niet logisch dat ouders hun kind een bijzondere volmacht minderjarige geven op hun spaarrekening, om die spaarrekening vervolgens te blinderen voor hun kind. Maar het is door het feit dat u uw zoon een bijzondere volmacht op zijn spaarrekening gegeven heeft, dat de fraudeur er eveneens over kon beschikken.
De uiteindelijke schade liep helaas op tot 1.128,10 euro. Recuperatie was echter niet meer mogelijk.
Zijn zoon vertrouwde de sms blindelings en heeft niet nagekeken of zijn bankkaart kortelings op vervaldatum zou komen. Had hij dit wel gedaan, eventueel bij het doorknippen van de kaart, had hij gezien dat zijn kaart nog niet verviel en er iets niet pluis was. Zijn zoon heeft tevens de chip van zijn bankkaart niet vernietigd alvorens ze op te sturen. Hierdoor bleef de chip, en dus ook de bankkaart, bruikbaar. Bovendien is het heel jammer dat zijn zoon zijn vader niet op de hoogte bracht dat hij een nieuwe bankkaart moest aanvragen. Had hij dit wel gedaan, had verzoeker controle kunnen doen naar het emailadres en het webadres van de vervalste website. Had hij vooraf hiervan de domeinnaam of legitimiteit gecontroleerd, dan had hij de oplichting voortijdig kunnen vaststellen en was er geen schade.
Op basis van alle feiten in dit dossier is de bank van mening dat hij aansprakelijk is voor het verlies van zijn zoon. Hij heeft immers beslist om zijn minderjarig kind een bijzondere volmacht te geven op zowel zijn zicht- als spaarrekening en liet hem daarbij ook beschikken over een bankkaart. De schade had nooit kunnen gebeuren als hij niet een zodanige verantwoordelijkheid aan zijn zoon had gegeven. Dit feit, in combinatie met wat men in juridische termen beschouwt als een grove nalatigheid in hoofde van zijn zoon, zorgde ervoor dat de fraudeur zijn slag kon slaan.

3. ADVIES VAN DE EXPERTEN
Het college stelt vooreerst vast dat het om niet-toegestane betalingstransacties gaat, waarvan een minderjarige het slachtoffer is geworden.
In geval van niet-toegestane betalingstransacties moet de betalingsdienstaanbieder onmiddellijk het bedrag van de niet-toegestane betalingstransacties aan de betaler terugbetalen tenzij wanneer de betalingsdienstaanbieder van de betaler redelijke gronden heeft om fraude te vermoeden en deze gronden schriftelijk aan de FOD Economie meedeelt (art. VII.43 §1 WER). Het college stelt vast dat aan deze voorlopige terugbetalingsverplichting niet is voldaan. Schade lijdt de betaler in dit geval hierdoor echter niet indien op grond van artikel VII.44 WER komt vast te staan dat de aansprakelijkheid uiteindelijk bij de betaler ligt.
Wat de definitieve allocatie van aansprakelijkheid betreft, moet toepassing gemaakt worden van de aansprakelijkheidsregeling uit artikel VII.44 §1 WER. Deze impliceert dat de betaler geen enkel risico draagt indien het onrechtmatig gebruik van het betaalinstrument niet kon worden vastgesteld door de betaler voordat de niet-toegestane betalingstransactie plaatsvonden (uitz. fraude). In de omstandigheden van de zaak is het college van oordeel dat een normaal zorgvuldig betaler de poging tot onrechtmatig gebruik van het betaalinstrument had moeten opmerken, in het bijzonder omdat de op het betaalinstrument vermelde vervaldatum niet overeenstemde met het beweerde nakende verval van de kaart en werd gevraagd om de betaalkaart naar een bepaald adres te sturen. Om die reden geldt de bijzondere vrijstelling van aansprakelijkheid hier dus niet.
De aansprakelijkheid is op grond van artikel VII.44 §1 WER beperkt tot 50 euro, tenzij wanneer de betalingsdienstaanbieder kan bewijzen dat de betaler zijn verplichtingen ex art. VII.38 WER met grove nalatigheid heeft miskend. Daarbij moet rekening worden gehouden met de omstandigheden die aan de basis van de fraude liggen. In het verleden werd reeds geoordeeld dat het noteren van de geheime code op een document dat bij de kaart wordt bewaard en het meedelen van de geheime code aan een derde een grove nalatigheid uitmaken. Hoewel de phishing, zoals ze zich in casu voordeed zich onderscheidt van deze gevallen, is het intussen algemeen bekend dat de geheime PIN-code nooit mag worden ingevoerd op een website, waarnaar de betaler geleid wordt via een SMS. Bovendien kan men in dit geval moeilijk argumenteren dat de kaarthouder werd overrompeld, aangezien na het invoeren van de gegevens nog zekere tijd verstreek vooraleer hij de kaart verzond naar het door de fraudeur vermelde adres (en vervolgens nog een aantal dagen verstreek voor de fraude kon plaatsvinden). Het college is dan ook van oordeel dat er rekening houdend met al deze omstandigheden sprake is van een grove nalatigheid. De aansprakelijkheid van de betaler is dan ook onbeperkt.
De minderjarigheid van de betaler wijzigt bovenstaande analyse niet, aangezien de minderjarige in dit geval door de wettelijke vertegenwoordigers werd gemachtigd om transacties als de niet-toegestane betalingstransacties te initiëren, zonder toestemming van de ouders. Het kan niet aanvaard worden dat in een dergelijk geval, waarin de ouders van oordeel zijn dat de minderjarige zelf over het nodige onderscheidingsvermogen beschikt, de aansprakelijkheidsverdeling anders moet worden ingevuld voor minderjarige betalers.
4. BESLUIT VAN DE OMBUDSMAN
De Ombudsman sluit zich aan bij de conclusie van de experten. Zoals vermeld door de experten dient voor de beoordeling van de grove nalatigheid rekening te worden gehouden met alle feitelijke elementen. Rekening houdend met het geheel van volgende omstandigheden is ook de Ombudsman van mening dat sprake is van een grove nalatigheid en dat de fraude op voorhand kon worden gedetecteerd:
- De SMS vermeldde het verval van de bankkaart, maar de vervaldatum lag nog heel ver in de toekomst. Deze informatie is eenvoudig af te lezen van de kaart. Voorzichtiger was geweest de bank te contacteren voor bijkomende toelichting.
De procedure voor de vervanging van de bankkaart week flagrant af van de normale procedure voor het vervangen van een bankkaart:
o Het verzenden van de bankkaart zonder ze onbruikbaar te maken (doorknippen chip) is in deze context minstens zeer onvoorzichtig.
o Bovendien heeft zijn zoon de pincode ingevuld op een website wat op zich ook zeer onvoorzichtig is. De geheime pincode moet nooit, in geen enkele procedure of proces, worden ingevoerd op een website.
o Tot slot verifieerde zijn zoon het adres waarnaar hij de kaart moest opsturen niet. In de context van een afwijkende procedure, lijkt dit op zich toch ook zeer onvoorzichtig.
- Bovendien kan men in dit geval moeilijk argumenteren dat zijn zoon werd overrompeld, aangezien na het invoeren van de gegevens nog zekere tijd verstreek vooraleer hij de kaart verzond naar het door de fraudeur vermelde adres (en vervolgens nog een aantal dagen verstreek voor de fraude kon plaatsvinden).