Na de onlinefraude begint de strijd tussen slachtoffers en banken

Niemand is nog veilig voor onlinefraude. Slachtoffers worden voor duizenden euro’s opgelicht. Vaak proberen ze die som terug te vorderen van hun bank. Of dat lukt, hangt af van woorden en interpretaties.

Enkele maanden geleden bracht Trends het verhaal van Gerard, die voor 180.000 euro was opgelicht in onlinefraude. Dat gevaar loert voor iedereen om de hoek. Elke e-mail, sms of onlinebericht kan een val zijn, die het slachtoffer duizenden tot tienduizenden euro’s kan kosten, met alle trauma’s van dien.

Veel slachtoffers raken daarna ook nog eens verwikkeld in een strijd met hun bank over de vergoeding voor de financiële schade. Dat is vaak een wij-zijdiscussie, waarin de bank en het slachtoffer de verantwoordelijkheid in elkaars schoenen proberen te schuiven. Wie uiteindelijk de financiële last van een fraudegeval zal dragen, en of het slachtoffer dat geld kan verhalen op haar of zijn bank, hangt af van een paar woorden in de wet, die bovendien op verschillende manieren kunnen worden geïnterpreteerd.

Ombudsfin, de federale klachten- en bemiddelingsdienst voor de financiële sector, heeft de klachten over onlinefraude de jongste jaren zien exploderen. Ook opvallend is dat banken de adviezen van de ombudsdienst veel minder volgen wanneer het over onlinefraude gaat dan bij andere klachten. Bij andere klachten volgden de banken in 2022 meer dan 90 procent van de Ombudsfin-adviezen. Bij onlinefraude was dat slechts 38 procent.

“Bij onlinefraude zijn banken veel minder geneigd onze adviezen te volgen, omdat er zo veel gevallen zijn en de financiële gevolgen daardoor veel groter zijn dan bij andere klachten. Ze vrezen ook het effect van het precedent, waarbij hun akkoord over een bepaald advies zou betekenen dat ze in alle gelijkaardige zaken de financiële schade moeten vergoeden”, legt Jean Cattaruzza, het hoofd van Ombudsfin, uit.

Autorisatie

De beoordeling van zulke fraudegevallen en de daarmee verbonden consumentenklachten gebeurt aan de hand van enkele technisch-juridische definities, die op papier misschien wel eenduidig zijn, maar in de praktijk vervagen in een grijze zone waarin nog moeilijk te bepalen is wie precies waarvoor verantwoordelijk is.

Een eerste duidelijk onderscheid dat moet worden gemaakt in klachten over onlinefraude is of het slachtoffer de transactie al dan niet heeft geautoriseerd. Dat bepaalt of de bank het slachtoffer al dan niet moet vergoeden.

“In bepaalde fraudegevallen heeft het slachtoffer de transacties duidelijk toegestaan”, legt Jean Cattaruzza uit. De zogenoemde WhatsApp-fraude is daar een voorbeeld van. “Stel, je krijgt een bericht van je zoon, die vertelt dat zijn gsm in het water is gevallen en hij daarom een nieuw nummer heeft. Hij vraagt ook om dringend een overschrijving te doen naar een onbekend rekeningnummer voor een betaling die hij nog moet doen. Als jij vervolgens dat geld overschrijft, is die transactie toegestaan. Jij heb namelijk bewust het bedrag en het rekeningnummer van de begunstigde ingevuld. Dat staat gelijk aan autorisatie, ook al blijkt achteraf dat het om nepberichten van een fraudeur ging.” In dat geval heeft het slachtoffer geen recht op een schadevergoeding.

Een ander voorbeeld is de investeringsfraude. “Als jij geld overschrijft naar een onbekende rekening waarvan je denkt dat het voor een belegging is, maar het blijkt een rekening van een fraudeur te zijn, dan ben je niet beschermd door de wet”, legt de ombudsman uit.

Authenticatie

Maar bij veel fraudegevallen zijn niet-geautoriseerde transacties in het spel. Phishing is het meest bekende voorbeeld. Daarin deelt het slachtoffer persoonlijke informatie zoals namen, rekeningnummers en toegangscodes, maar voert zij of hij niet zelf de transacties uit. “Dat zijn typische niet-toegestane transacties. De slachtoffers hebben via een website of een link bepaalde gegevens gedeeld, maar weten niet wat daarmee gebeurt. Ze hebben zelf niets uitgevoerd”, legt Jean Cattaruzza uit. Slachtoffers van niet-toegestane transacties kunnen wel aanspraak maken op een schadevergoeding van hun bank, al moet dat geval per geval uitgemaakt worden.

Het onderscheid tussen toegestane en niet-toegestane transacties lijkt zwart-wit, maar een ander concept leidt tot een grijze zone en onenigheid: authenticatie. Voor financiële transacties moet degene die ze wil uitvoeren zich authenticeren via een bankapp of een bankkaart in combinatie met een code.

“Sommige banken leiden uit de authenticatie automatisch de autorisatie af. Daar gaan wij niet mee akkoord. Die twee zaken kun je niet gelijkstellen. Ook de wet en het beetje rechtspraak dat daarover bestaat, zeggen dat”, stelt de ombudsman. “In het geval van phishing krijgen de fraudeurs soms toegang tot de bankrekeningen en de bijbehorende codes, maar als zij daar vervolgens transacties mee doen, heeft het slachtoffer die niet geautoriseerd. In dat geval kan wel sprake zijn van authenticatie, maar niet van autorisatie”, klinkt het.

Grove nalatigheid

De discussie over autorisatie en authenticatie is een eerste semantische horde voor slachtoffers die willen weten of ze recht hebben op een schadevergoeding. Er is nog een tweede, lastigere horde gestoeld op een even abstract begrip: grove nalatigheid. De wet zegt dat slachtoffers van onlinefraude door hun financiële instelling vergoed moeten worden wanneer het om niet-toegestane transacties gaat, tenzij ze ‘grof nalatig’ zijn geweest. Het merendeel van de zaken waar Ombudsfin zich over buigt, gaat daarover. “Zo’n 10 procent gaat over de vraag of de transactie al dan niet geautoriseerd is. In alle andere gevallen gaat het over grove nalatigheid”, klinkt het. “Het is relatief makkelijk te bepalen of een transactie al dan niet geautoriseerd is. Grove nalatigheid is veel moeilijker uit te maken. Dat is heel subjectief. Je vindt het ook terug in andere takken van de wet”, klinkt het. “In zaken over onlinefraude ligt de bewijslast bij de banken. Zij moeten aantonen dat een slachtoffer grof nalatig is geweest.” In de praktijk draaien de banken die redenering vaak om en leggen ze de bewijslast bij het slachtoffer. Daarnaast komen ze ook niet tegemoet aan hun wettelijke verplichting de slachtoffers onmiddellijk te vergoeden, wanneer nog geen duidelijkheid over die grove nalatigheid is. De wet verplicht banken de slachtoffers onmiddellijk te vergoeden, behalve wanneer het om toegestane transacties gaat.