Dinsdag 27 oktober 2015

Het ‘Eigen Risico’ van het Internetbankieren

Het zal je maar gebeuren: Je logt in via de internetpagina van je bank om je saldo te bekijken, en plotseling blijkt er zonder jouw toestemming een groot bedrag te zijn verdwenen. In Nederland staat internetbankieren over het algemeen bekend als een betrouwbare, snelle en gemakkelijke manier om de eigen bankzaken te regelen. Maar ondanks alle veiligheidsmaatregelen vallen er jaarlijks toch enkele duizenden Nederlanders ten prooi aan internetcriminelen.

Meer dan 80% van de Nederlanders tussen de 16 en 75 jaar oud maakt inmiddels gebruik van de mogelijkheid tot internetbankieren.¹http://www.cbs.nl/nl-NL/menu/themas/vrije-tijd-cultuur/publicaties/artikelen/archief/2012/2012-3662-wm.htm.  Het is dus geen wonder dat criminelen in toenemende mate hun pijlen richten op het digitale betalingsverkeer. Jaarlijks betekent dit een kostenpost van ongeveer 35 miljoen euro voor de banken. Op de totale omzet (zo’n 3200 miljard euro aan verwerkte transacties) is dit alsnog een schijntje, maar banken zijn vanzelfsprekend vastbesloten om elke euro uit handen van criminelen te houden. Om de schade van fraude bij internetbankieren tegen te gaan, trad op 1 januari 2014 de Nederlandse Vereniging van Banken (NVB) met de zogenaamde ‘uniforme veiligheidsregels’ naar buiten.

Het hoofddoel van deze vijf regels is om de veiligheid en betrouwbaarheid van het internetbankieren te garanderen. Er speelt hierbij echter een belangrijke kwestie: aansprakelijkheid. Als slachtoffer van fraude met internetbankieren ben je er namelijk niet altijd van verzekerd dat de bank het volledige bedrag terug stort. Onder omstandigheden kan het zijn dat een consument zelf opdraait voor de geleden schade. Nu is de vraag: Onder welke omstandigheden precies? Mogen de banken van de NVB deze regels zomaar aan hun consumenten op leggen, en daarmee de eigen aansprakelijkheid gedeeltelijk of geheel exonereren?

Vijf regels

Banken waarschuwen al jaren tegen internetcriminaliteit, en de veiligheidsregels die nu in stelling gebracht worden zijn er op ingericht om te zorgen dat de consument zichzelf hiertegen beschermt. Voor de introductie van deze regels had elke bank zijn eigen veiligheidsvoorschriften. Sinds 1 januari gelden dus voor elke bank dezelfde regels.

De vijf uniforme veiligheidsregels luiden als volgt:

   -Houd uw beveiligingscodes geheim.
   -Zorg ervoor dat uw bankpas nooit door een ander gebruikt wordt.
   -Zorg voor een goede beveiliging van de apparatuur die u gebruikt voor uw bankzaken.
   -Controleer uw bankrekening.
   -Meld incidenten direct aan de bank en volg aanwijzingen van de bank op

Enkele van deze regels liggen behoorlijk voor de hand. Wanneer je als consument zelf laks met beveiliging omspringt omdat je bijvoorbeeld je code of bankpas weggeeft, je pas laat slingeren, of een opgeschreven wachtwoord ergens laat liggen, is het niet redelijk om de bank voor de kosten te laten opdraaien. Dat incidenten zoals een gestolen bankpas of mobiele telefoon aan de bank gemeld dienen te worden zal ook niet als een verrassing komen.

Punt drie op de lijst roept wel enkele vragen op. In de toelichting²https://www.veiligbankieren.nl/downloads/001029_uniforme-veiligheidsregels_1.pdf.  geeft men aan, wat deze ‘goede beveiliging’ zoal in houdt. Blijkbaar moet de afnemer van internetbankierdiensten beschikken over een besturingssysteem voorzien van de laatste updates, een virusscanner, en een firewall. Daarnaast dient hij zelf zorg ervoor te dragen dat er ook weer wordt uitgelogd wanneer men klaar is met een sessie, dat de gebruikte apparatuur met een (voldoende sterk) wachtwoord is beveiligd en dat er geen illegale software geïnstalleerd is op het apparaat waarmee van de internetbankierdiensten gebruik gemaakt wordt.

Het is de moeite waard om op te merken dat het besturingssysteem Windows XP na 8 april 2014 door de meeste banken niet langer als een veilig product wordt gezien, omdat Microsoft het vanaf die datum niet langer officieel ondersteunt, en dus geen beveiligingsupdates meer uit brengt.³http://windows.microsoft.com/nl-nl/windows/end-support-help. Dit betekent dan ook dat het gebruik van Windows XP eventueel als factor kan worden meegewogen bij het bepalen of een consument aansprakelijk is in het geval van een frauduleuze betaling. Ondanks de risico’s kent Windows XP echter ook na 8 april 2014 nog steeds een grote hoeveelheid gebruikers. Het marktaandeel hiervan ligt in december 2014 nog steeds op 18% van de PC’s die op het internet zijn aangesloten, en op 1 juni 2015 nog steeds 14.5%.⁴http://www.netmarketshare.com.

Aansprakelijkheid tot een maximumbedrag

Waar het de aansprakelijkheid voor frauduleuze betalingstransacties betreft, hebben de banken tot op heden grotendeels een beleid van coulance gevoerd. Zelfs in gevallen waarbij de consument verwijten vielen te maken en er mogelijk sprake was van grove nalatigheid, keerden de banken vaak toch nog het volledige bedrag uit.⁵http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2012/11/26/beantwoording-kamervragen-inzake-vergoeding-schade-bij-fraude-internetbankieren/beantwoording-kamervragen-inzake-vergoeding-schade-bij-fraude-internetbankieren.pdf, vraag 4 p.2. Met deze nieuwe regels lijkt de eigen verantwoordelijkheid van de consument echter wel toe te nemen, en daarmee dus ook het risico dat slachtoffers van fraude met internetbankieren zelf voor de schade op draaien.

Het Burgerlijk Wetboek (BW) biedt meerdere aanknopingspunten om te bepalen of de benadeelde zelf wellicht geheel of ten dele aansprakelijk kan worden geacht voor de geleden schade.

Allereerst zijn er de artikelen 7:524 BW juncto 7:529 BW,⁶http://wetten.overheid.nl/BWBR0005290/Boek7/Titel7b/Afdeling2/Artikel524/ en  http://wetten.overheid.nl/BWBR0005290/Boek7/Titel7b/Afdeling2/Artikel529/. een implementatie van Europese Richtlijn 2007/24/EG.⁷Richtlijn 2007/64/EG van het Europees parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de Richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van Richtlijn 97/5/EG, Pb L 2007/319. Artikel 7:529 lid 1 BW geeft de hoofdregel:  De gebruiker kan ten hoogste voor het bedrag van 150 euro verantwoordelijk worden gehouden, wanneer er sprake is van verlies, diefstal of, wanneer de gebruiker heeft gehandeld in strijd met de voor hem geldende veiligheidsvoorschriften, onrechtmatig gebruik van het betaalinstrument.

Deze bepaling wekt de indruk dat de banken in Nederland een soort “eigen risico” van 150 euro kennen, wanneer er sprake is van frauduleuze betalingstransacties door derden. Dit is echter onjuist. Banken en consumenten kunnen ook overeen komen dat de consument een lager bedrag dan 150 euro zelf dient te betalen in de gevallen die artikel 7:529 lid 1 BW noemt. Minister Dijsselbloem van Financiële Zaken stelt in antwoord op kamervragen van het lid Nijboer (PvdA) op 20 januari 2014 dat de banken op dit moment geen eigen risico hanteren, en dat hem geen indicaties bekend zijn dat de banken hier verandering in gaan brengen.⁸Aanhangsel Handelingen II, 2013/14, 890, Vraag 9.https://zoek.officielebekendmakingen.nl/ah-tk-20132014-890.html.  Met de invoering van de richtlijn valt echter wel te stellen dat er een juridische basis is voor een eventueel aangescherpt beleid in de toekomst.

Aansprakelijkheid zonder maximumbedrag

Het maximumbedrag geldt niet in alle gevallen. Artikel 7:524 BW kent een aantal verplichtingen waar de gebruiker aan moet voldoen. In de eerste plaats moet hij zich houden aan de voorwaarden die de bank stelt aan het gebruik van het betaalinstrument. Deze zijn meestal terug te vinden in de algemene voorwaarden van de bank, en kunnen dus per bank verschillen. Daarnaast wordt de gebruiker geacht de bank in geval van verlies, diefstal of ongeoorloofd gebruik onmiddellijk te informeren, en dient hij alle redelijke maatregelen te nemen om de veiligheid van de gepersonaliseerde veiligheidskenmerken te waarborgen.

Wanneer de gebruiker opzettelijk of met grove nalatigheid een van zijn verplichtingen uit artikel 7:524 BW niet na komt, geldt niet langer het maximumbedrag uit lid 1, maar bepaalt artikel 7:529 lid 2 BW dat alle schade voor zijn eigen rekening komt. Hetzelfde geldt logischerwijs voor de gebruiker die zelf frauduleus handelt. Wordt er door de consument echter niet frauduleus of met opzet gehandeld, dan kan eventueel aangenomen aansprakelijkheid op grond van het eerste of tweede lid langs de weg van artikel 7:529 lid 3 BW door de rechter gematigd worden.

Op zichzelf scheppen de vijf uniforme veiligheidsregels dus geen basis voor aansprakelijkheid. De bank zou echter wel kunnen besluiten om deze regels in haar algemene voorwaarden op te nemen. In dat geval moet de gebruiker op basis van artikel 7:524 BW zich in beginsel aan deze voorwaarden houden. De gestelde voorwaarden van de bank moeten echter wel blijven voldoen aan artikel 6:233 BW. Dit houdt in dat de voorwaarden niet onredelijk bezwarend mogen zijn ten opzichte van de consument, en dat deze een redelijke mogelijkheid tot kennisnemen hiervan moet hebben gehad. De bewijslast om aan te tonen dat de voorwaarden met opzet of grove schuld niet zijn nageleefd, ligt bij de bank.

Naast de specifieke bepalingen uit Boek 7 BW kan ook het leerstuk van eigen schuld uit artikel 6:101 BW een basis vormen voor aansprakelijkheid van de consument. Artikel 7:529 BW is geen lex specialis ten opzichte van artikel 6:101 BW. Er kan op beide artikelen een beroep worden gedaan.⁹R.E. van Esch, ‘Phishing en de waarschuwingsplicht van een bank: een drieluik’, T.Fin.R, 2015/4, p. 126 e.v. Voorwaarde voor toepassing van artikel 6:101 lid 1 BW is dat de schade een gevolg is van een omstandigheid die aan de benadeelde kan worden toegerekend, bijvoorbeeld dus bij het onzorgvuldig omspringen met de veiligheidskenmerken van het betalingsinstrument. Is dit het geval, dan wordt de vergoedingsplicht herverdeeld op basis van evenredigheid. Eventueel kan er op grond van dit artikel ook nog een billijkheidscorrectie plaatsvinden. In artikel 6:248 BW vinden we ten slotte de derogerende werking van de redelijkheid en billijkheid voor verbintenissen terug, die met zich mee kan brengen dat voor de overeenkomst geldende regels buiten toepassing blijven, wanneer deze naar bovengenoemde maatstaven onaanvaardbaar zijn.

Conclusie

Wanneer een gebruiker zich niet houdt aan een van de uniforme veiligheidsregels, betekent dit niet automatisch dat hij zelf verantwoordelijk is voor schade die hij lijdt vanwege fraude met internetbankieren. Er kan hoogstens worden gesteld, dat wanneer de consument al deze regels netjes heeft nageleefd, hij in ieder geval níet aansprakelijk is voor dergelijk verlies.

Alhoewel deze regels dus niet een grote verschuiving wat betreft aansprakelijkheid met zich mee brengen, hebben ze wel een duidelijke functie. Enerzijds om een signaal te sturen richting de consument om op zijn tellen te passen bij het online beheren van zijn bankzaken, en anderzijds om de wirwar van individuele regelingen van banken te harmoniseren.