2018.1847

THEMA

Betalingen en betaalrekeningen – Verrichtingen op afstand – Betalingen via PC – Betwiste verrichtingen.

ADVIES

Aanwezig :
De heer A. Van Oevelen, Voorzitter ;
De heren J. Vannerom, R. Steennot, A. Guigui, leden
Mevrouw N. Spruyt, lid.

Datum : 18 december 2018

1. BESCHRIJVING VAN DE KLACHT
De klacht betreft de niet-succesvolle betwisting van frauduleuze geldafhalingen voor een bedrag van 9.004,62 euro van de zichtrekening van de klager. De frauduleuze verrichtingen vonden plaats tussen 14 en 22 februari 2018.
Toen klager op 14 februari 2018 een rekening wou betalen door overschrijving via zijn computer, kreeg hij bericht dat dit niet lukte aangezien zijn debetkaart geblokkeerd was.
Toen hij op 22 februari telefonisch contact opnam met de bank om zijn debetkaart te deblokkeren, stelde hij vast dat zijn zichtrekening een negatief saldo vertoonde van 1.159,33 euro.
Toen klager dit vaststelde heeft hij aan de bank gevraagd zijn rekening tijdelijk te blokkeren. Hij heeft vervolgens Card Stop gecontacteerd en een PV laten opmaken bij de politie. Dit PV werd vervolgens doorgestuurd naar de bank.
Bij de bank stelden ze dat dat het om een bedrag van 2.276,55 euro zou gaan, in plaats van 9.004,62 euro. Klager meent dat de bank geen rekening heeft gehouden met de gelden die de fraudeurs eerst overgeschreven hebben van zijn spaarboekjes naar zijn zichtrekening. Er werd namelijk 6.397 euro van zijn ene spaarrekening overgezet en 250 euro van de andere.
Daarnaast stelde de bank dat de verrichtingen waren uitgevoerd via een commerciële internetsite. Daarbij zou gebruik gemaakt zijn van de bankkaart van de klager en zou de klager manipulaties uitgevoerd hebben met zijn kaartlezer. De verrichtingen zouden geregistreerd zijn op 14 februari, om 19u18. De bank stelt namelijk dat de transacties 3D Secure waren, uitgevoerd met bankkaart, kaartlezer en geheime code.
Klager begrijpt niet hoe hij zelf geen overschrijvingen kan uitvoeren aangezien zijn debetkaart geblokkeerd is en dat hij voor deblokkering eerst contact dient op te nemen met de bank, terwijl de fraudeurs tussen 14 en 23 februari 9.004,62 euro kunnen afhalen, zonder dat dit wordt opgemerkt door de bank en terwijl klager pas op 22 februari contact heeft opgenomen met de bank.
Klager verklaart formeel dat hij nooit zijn betaalgegevens of codes heeft doorgegeven aan derden, niet mondeling, noch schriftelijk. Zelf zijn kinderen kennen deze gegevens niet. Hij zegt dat hij zijn bankkaart nooit verloren heeft. De kaart is ook nooit gestolen geweest.
Klager begrijpt niet waarom de bank zegt dat hij zich schuldig gemaakt heeft aan een grove nalatigheid.
Daarnaast begrijpt hij ook niet hoe het mogelijk is dat binnen een tijdspanne van 92 minuten 17 verrichtingen hebben kunnen plaatsvinden naar Londen, Eindhoven en Enschede zonder dat een alarmbel bij de bank ging rinkelen. In enkele dagen werden 38 verrichtingen uitgevoerd, overwegend naar het buitenland.
Klager meent ook dat de limiet overschreden was.
Klager wenst nu vergoed te worden voor de geleden schade.
2. STANDPUNT VAN DE BANK
De bank blijft bij haar standpunt. De bank wenst dus niet in te gaan op de vraag tot schadeloosstelling.
In haar standpunt verwijst de bank ten eerste naar artikel VII.44 van het Wetboek van Economisch Recht (hierna WER). Op basis van dit artikel dient de betaler alle verliezen te dragen in verband met niet-toegestane betalingstransacties indien de betaler deze heeft geleden doordat hij frauduleus heeft gehandeld of opzettelijk of door grove nalatigheid één of meer van de in artikel VII.38 WER genoemde verplichtingen niet is nagekomen.
De bank stelt dat de verplichtingen van artikel VII.38 WER ook verder zijn uitgewerkt in haar bijzondere voorwaarden met betrekking tot gebruik van de dienst Mobilebanking en haar bijzondere voorwaarden met betrekking tot het gebruik van de bankkaart. Het komt er onder andere op neer dat de abonnee alle redelijke voorzorgsmaatregelen dient te nemen om de beveiliging van de activatie- en inlog- en handtekeningprocedures te waarborgen en om de veiligheid van zijn kaart en geheime code te garanderen.
De bank stelt dat voor de beoordeling of al dan niet sprake is van een grove nalatigheid rekening dient gehouden te worden met de concrete omstandigheden. De bank baseert zich op volgende feiten:
- Klager zegt dat hij op 12 februari 2018 via zijn internettoegang een betaling heeft willen uitvoeren. Toen heeft hij een bericht ontvangen dat zijn bankkaart geblokkeerd was en dat hij contact diende op te nemen met de diensten van de bank. Op 12 februari 2018 blijkt evenwel geen login geregistreerd bij de bank. Bijgevolg kan de bank geen foutboodschap vaststellen.
- Op 14 en 15 februari werden kaartbetalingen uitgevoerd met 3D Secure. Hierbij werd gebruikt gemaakt van de elektronische chip van de kaart en bijhorende geheime code. Skimming van de gegevens van de elektronische chip is uitgesloten. Bijgevolg kan skimming in dit dossier worden uitgesloten.
- Naast internetbetalingen werden ook via mobilebanking een aantal internationale betalingen uitgevoerd. Mobilebanking kan in feite uitsluitend worden geactiveerd op basis van het persoonlijk abonnementsnummer, het kaartnummer, de geheime code en een code gegenereerd met de digipass. In haar antwoord op de klacht stelde de bank ook reeds dat dit mobilebanking abonnement minstens sinds 27 januari 2017 bestaat en dat op 1 december 2017 hier minstens een Iphone 7 aan is gekoppeld.
De bank stelt dat als klager niet zelf de transacties heeft uitgevoerd, er geen andere mogelijkheid bestaat dan dat hij bepaalde gegevens ter beschikking gesteld heeft van een derde.
De bank meent dus op basis van voorgaande te kunnen besluiten tot een grove nalatigheid. Daarom is de bank van oordeel niet aansprakelijk te kunnen worden gesteld voor de geleden schade.
3. ADVIES VAN DE EXPERTEN
Rekening houdend met het aantal verrichtingen, de grootte van de bedragen van de betrokken transacties en de bestemming ervan, is het College van experten van oordeel dat de betaler voldoende aannemelijk maakt dat hij zelf zijn toestemming niet heeft gegeven tot deze transacties en dat het aldus over niet-toegestane betalingstransacties gaat.
Aangezien ten tijde van de verrichtingen PSD2 nog niet werd omgezet in het nationale recht, moet de verdeling van de aansprakelijkheid geschieden op grond van artikel VII.36 van het Wetboek van economisch recht (zoals het op dat ogenblik gold).
Het College van experten stelt vast dat de betaler ten tijde van de vaststelling van de niet-toegestane betalingstransacties op 22 februari nog steeds in het bezit was van zijn betaalkaart. De geldafhaling te X toont voorts aan dat de betaler ook op 19 februari deze kaart in zijn bezit had. Het College van experten gaat er dan ook vanuit dat de betaler steeds in het bezit is gebleven van de betaalkaart.
Hoewel het moeilijk te begrijpen valt hoe zonder medewerking van de kaarthouder of zonder gebruik van de kaart door een derde de niet-toegestane transacties hebben kunnen plaatsvinden – gelet op het feit dat volgens de informatie van de bank verschillende keren een authenticatiecode verstrekt diende te worden (hetzij om 3D-secure betalingen te verrichten, hetzij om de kaart aan de Bancontact-app te koppelen, hetzij om de mobilebanking app te activeren) en de creatie van deze code het gebruik van de betaalkaart veronderstelt – is het College van experten van oordeel dat artikel VII.36, §1, derde lid, 2°, van het Wetboek van economisch recht toepassing vindt. Dit artikel bepaalt dat de betaler in geen geval aansprakelijk gesteld kan worden indien hij op het ogenblik van de betwiste transacties in het bezit was van zijn betaalinstrument. De wetgever heeft aldus geoordeeld dat in een dergelijk geval het risico voor niet-toegestane betalingstransacties bij de betalingsdienstaanbieder rust (behalve indien de betalingsdienstaanbieder kan bewijzen dat de betaler zelf frauduleus heeft gehandeld). Grove nalatigheid speelt in deze situatie geen rol (in tegenstelling tot het geval waarin het betaalinstrument wordt verloren of gestolen).
Het College van Experten is er voorts over verwonderd dat de systemen van de bank de fraude niet hebben gedetecteerd (gelet op het grote aantal voor de betaler atypische transacties op korte termijn).
Tot slot stelt het College van Experten vast dat bepaalde door de bank verstrekte gegevens tegenstrijdig lijken. Zo vermeldt de overzichtstabel van de transacties dat de eerste transactie met de Bancontact-app plaatsvond op 14 februari om 18 u 27, terwijl volgens de bank de Bancontact-app slechts op 14 februari om 18 u 39 werd geïnstalleerd. Eenzelfde vaststelling dringt zich op voor de mobilebanking-app. Volgens de tabel vond de eerste transactie plaats op 15 februari om 3 u 27, terwijl de installatie slechts om 3 u 29 zou zijn gebeurd.
Conclusie: het College van Experten verzoekt de bank om het bedrag van 9.004,62 euro over te schrijven op de zichtrekening van verzoeker.
4. BESLUIT VAN DE OMBUDSMAN
De Ombudsman sluit zich aan bij het advies van de experten. De Ombudsman zal de bank dan ook aanbevelen het frauduleus ontvreemde bedrag, ofwel 9.004,62 euro, over te schrijven op zichtrekening van de klager.