Uitspraak 2018-689 (Bindend)

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2018-689
(prof. mr. M.L. Hendrikse, voorzitter, mr. R.J. Paris, mr. dr. S.O.H. Bakkerus, leden en mr. L.T.A. van Eck, secretaris)

Klacht ontvangen op        : 25 september 2017

Ingediend door               : Consument

Tegen                            : ABN AMRO Bank N.V., gevestigd te Amsterdam, verder te noemen de Bank

Datum uitspraak             : 2 november 2018

Aard uitspraak                : Bindend advies

Samenvatting

De klacht van Consument ziet op een onbevoegde transactie van € 4.850,05. De vraag is voor wiens risico deze betaaltransactie moet komen: voor de Bank, voor Consument of voor beiden. Consument heeft een computerprogramma op haar computer geïnstalleerd, waardoor een onbevoegde derde de mogelijkheid heeft gekregen mee te kijken toen Consument haar inlog- en beveiligingscodes invoerde. Consument heeft hierdoor de bij de betaalrekening gepersonaliseerde veiligheidskenmerken aan de derde prijsgegeven. Met het prijsgeven van de inlog- en beveiligings-codes aan de onbekende in combinatie met het verlenen van toegang tot haar computer heeft Consument in strijd met de voorwaarden gehandeld op een wijze die naar het oordeel van de Commissie als grof nalatig kan worden gekwalificeerd. Op basis van de voorgaande overwegingen dient Consument de door haar geleden schade zelf te dragen.

• Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:

• het door Consument (digitaal) ingediende klachtformulier met bijlagen;
• het verweerschrift van de Bank en de aanvulling daarop, met bijlagen;
• de repliek van Consument;
• de dupliek van de Bank.

De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.

Partijen zijn opgeroepen voor een hoorzitting op 5 oktober 2018 met prof. mr. Hendrikse, de Voorzitter en zijn aldaar verschenen.

Na de hoorzitting heeft de Voorzitter bepaald dat de klacht meervoudig wordt behandeld. De Commissie is aangevuld met mr. R.J. Paris en mr. dr. S.O.H. Bakkerus.

• Feiten

De Commissie gaat uit van de volgende feiten.

1. 1. Consument houdt een betaalrekening bij de Bank aan. Zij maakt gebruik van internet-bankieren. De Voorwaarden Cliëntrelatie, De Voorwaarden betaaldiensten Particulieren en het Informatieblad Betaaldiensten Particulieren zijn van toepassing op de rechtsverhouding tussen partijen.

De Voorwaarden Clientrelatie luiden onder meer:

“15. Risicoverdeling

Schade die ontstaat doordat de bank afgaat op een opdracht of andere Communicatie op naam van de cliënt die onjuist of buiten de wil van de cliënt aan de bank wordt overgebracht, wordt behoudens dwingend recht – volgens de volgende regels verdeeld:

• Indien de bank tegenover de cliënt in een (veiligheids) verplichting is tekortgeschoten, komt de schade voor rekening en risico van de bank voor zover deze als gevolg daarvan aan de bank kan worden toegerekend.

• Indien de cliënt tegenover de bank in een (veiligheids)verplichting is tekortgeschoten, komt de schade voor rekening en risico van de cliënt voor zover deze als gevolg daarvan aan de cliënt kan worden toegerekend.

• De schade komt voorts, op voorwaarde dat de bank aan haar desbetreffende (veiligheids)verplichtingen heeft voldaan, in ieder geval voor rekening en risico van de cliënt indien:

– bij de Communicatie (onbevoegd) gebruik is gemaakt van een door de bank aan de cliënt (of zijn vertegenwoordiger) verstrekt Klantherkenningsmiddel, op naam gesteld papieren Formulier en/of het Elektronisch Klantdomein; en/of

– de bank erop mocht vertrouwen dat de Communicatie juist en overeenkomstig de wil van de cliënt aan haar is overgebracht.”

De Voorwaarden betaaldiensten Particulieren vermelden voor zover relevant:

“6.   Veiligheid en risicoverdeling

6.1.   Hoe kunt u misbruik door anderen van uw betaalrekening, bankpas en andere klantherkenningsmiddelen voorkomen?

U moet zich houden aan al onze regels en voorschriften voor het gebruik en de veiligheid van betaaldiensten. Deze regels kunt u lezen in de Algemene Voorwaarden

ABN AMRO Bank N.V. en in hoofdstuk 1 van het Informatieblad Betaaldiensten.

(…)

6.3.   Wie draagt het risico van misbruik?

Wanneer de bank zonder geldige opdracht een betaaltransactie uitvoert en van uw betaalrekening afschrijft geldt het volgende. Het afgeschreven bedrag komt dan

voor rekening van de bank. Uitzondering hierop zijn de gevallen die hieronder worden beschreven.

• Wanneer uw bankpas of ander klantherkenningsmiddel verloren of gestolen is heeft u een eigen risico van maximaal € 150. Dit eigen risico geldt ook als u nalatig bent geweest om te zorgen voor de veiligheid van uw pincode of ander persoonlijk veiligheidskenmerk van een klantherkenningsmiddel, zodat anderen het kunnen gebruiken. Het eigen risico geldt niet voor betalingen via betaalautomaten waarbij het gebruik van de pincode niet nodig is. Het eigen risico geldt alleen voor betaaltransacties tot het moment waarop u aan de bank meldt dat iemand onbevoegd uw klantherkenningsmiddelen kan gebruiken.

• Als u met opzet of op grove wijze nalatig bent geweest in de stipte naleving van onze regels zijn de betaaltransacties volledig voor uw rekening en risico. Dit geldt tot het moment waarop u aan de bank meldt dat iemand onbevoegd uw klantherkenningsmiddelen kan gebruiken.”

Het informatieblad Betaaldiensten Particulieren vermeldt onder meer:

            “1A Veiligheidsregels

(…)

Toelichting veiligheidsregels

1 Houd uw beveiligingscodes geheim

           Denk hierbij aan het volgende:

• Zorg ervoor dat beveiligingscodes nooit aan een ander bekend kunnen worden. Beveiligingscodes zijn niet alleen de pincode die u in combinatie met de bankpas gebruikt. Het zijn ook alle andere codes die u moet gebruiken om elektronische betalingen te doen en gebruik te maken van Internet Bankieren en Mobiel Bankieren. Dat kunnen bijvoorbeeld de codes zijn die de door de bank verstrekte e.dentifier aangeeft.

• U mag deze beveiligingscodes alleen zelf gebruiken. U moet dat doen op de manier die de bank aangeeft. In onderdeel 1B van dit hoofdstuk staat welk gebruik van beveiligingscodes is toegestaan.

(…)

1B Toegestaan gebruik van beveiligingscodes

Beveiligingscodes

Beveiligingscodes zijn alle persoonlijke codes die u gebruikt als onderdeel van het klantherkenningsmiddel. Een beschrijving hiervan vindt u in artikel 3 van de

Voorwaarden Betaaldiensten Particulieren.

Toegestaan gebruik beveiligingscodes

U mag uw beveiligingscodes alleen gebruiken waar dat door de bank is toegestaan.

Uw pincode mag u alleen intoetsen in:

• Geldautomaten

• Betaalautomaten

• de door de bank verstrekte e.dentifier.

Uw Wallet-code (voor Mobiel Betalen bij betaalautomaten) mag u alleen intoetsen in uw smartphone met Mobiel Betalen app van de bank. Andere beveiligingscodes, zoals de codes die de e.dentifier aangeeft of de vijfcijferige identificatiecode, mag u alleen gebruiken bij:

• Internet Bankieren (inclusief iDEAL betalingen) via de beveiligde website van de bank”

1. 1. Consument is op vrijdagmiddag 4 augustus 2017 omstreeks 16:00 uur telefonisch benaderd door een Engelssprekende onbekende, die zich voordeed als een medewerker van Microsoft. Op verzoek van deze onbekende heeft Consument een computerprogramma (Teamviewer) gedownload en geïnstalleerd op haar computer. Zij heeft haar inlog- en beveiligingscodes ingevoerd om in de beveiligde internetomgeving van de Bank te komen.

1. 1. Op 4 augustus 2017 om 19:22 uur is een bedrag van € 4.850,05 onbevoegd van de betaalrekening van Consument naar een betaalrekening bij een Portugese bank overgemaakt. Vlak hiervoor (om 18:54 uur) is een bedrag van € 20.000,- van haar spaarrekening naar haar betaalrekening overgeboekt. Consument heeft kort na deze transactie (om 19:57 uur) contact opgenomen met de Bank. Drie andere ingeplande onbevoegde overboekingen (van € 4.950,-, € 4.908,- en € 4.690,-) heeft de Bank kunnen tegenhouden.

1. 1. Consument heeft op 15 augustus 2017 bij de politie aangifte van fraude gedaan.

• Vordering, klacht en verweer

Vordering Consument

1. 1. Consument vordert dat de Bank wordt veroordeeld tot betaling van een bedrag van € 4.850,05.

Grondslagen en argumenten daarvoor

3.2  Deze vordering steunt op de volgende grondslag. Consument is telefonisch benaderd door een onbekende die zich voordeed als een medewerker van Microsoft. Hij heeft haar aangeboden een virus van haar computer te verwijderen. Zij heeft op zijn verzoek een computerprogramma gedownload en op haar computer geïnstalleerd. Ook heeft zij op zijn verzoek een bedrag van € 10,- overgemaakt als vergoeding voor de antivirussoftware. Toen Consument het vermoeden had dat het niet klopte, heeft ze contact gezocht met de Bank. Toen bleek dat een bedrag van € 4.850,05 van haar betaalrekening is afgeschreven. Voor deze betaaltransactie heeft zij geen toestemming verleend. De Bank heeft de betaalrekening van Consument geblokkeerd. In het daaropvolgende weekend heeft Consument meerdere keren (uitgebreid) telefonisch contact gehad met de Bank en de politie om te voorkomen dat de overboeking zou worden geëffectueerd. De Bank heeft de tweede, derde en vierde betalingstransactie tegengehouden; bij de eerste betalingstransactie van € 4.850,05 is dit niet gelukt. Het is voor Consument onbegrijpelijk dat de banken, de toezichthouders en de politie binnen de Europese Unie niet samenwerken om dit soort fraude tegen te gaan.
Voorts dient de Bank haar systemen zo in te richten dat geen betalingen via internetbankieren kunnen worden uitgevoerd als het programma Teamviewer tegelijkertijd op de computer is geopend.

Verweer van de Bank

3.3  De Bank heeft de volgende verweren gevoerd.

Consument heeft zich niet gehouden aan de toepasselijke veiligheidsregels, zoals onder meer opgenomen in de Voorwaarden Cliëntrelatie, de Voorwaarden betaaldiensten Particulieren en het Informatieblad Betaaldiensten Particulieren. Consument heeft software op haar computer geïnstalleerd en daarna een onbekende toegang verleend tot internetbankieren. Ook heeft zij haar inlog- en responscodes vrijgegeven. De derde heeft vervolgens betaalopdrachten via haar computer kunnen doorgeven. Doordat Consument de veiligheidsregels niet heeft opgevolgd, komt de schade voor haar rekening. De Bank betwist dat internetbankieren niet veilig zou zijn. De Bank heeft de onbevoegd gegeven overboekingsopdrachten uitgevoerd, omdat de juiste inlog- en responscodes daarvoor zijn ingevoerd. Daarnaast heeft de Bank getracht om de betwiste overboeking te annuleren. Op het moment dat Consument belde (rond 19:57 uur) was de eerste betaaltransactie van € 4.850,05 al verwerkt. De Bank heeft om 20:00 uur nog met spoed een annuleringsverzoek ingediend bij de Portugese bank, maar dit heeft helaas niet tot annulering van deze betaaltransactie geleid.

• Beoordeling

1. 1. De vordering van Consument ziet op de betaaltransactie op 4 augustus 2017 voor een bedrag van € 4.850,05. De vraag is voor wiens risico deze betaaltransactie moet komen: voor de Bank, voor Consument of voor beiden.

1. 1. Consument draagt, als houder van een betaalrekening, in beginsel tot een bedrag van € 150,- de schade die het gevolg is van onrechtmatig gebruik van de aan haar betaalrekening gekoppelde betaalpas. Dit is alleen anders als Consument opzettelijk of met grove nalatigheid één of meer verplichtingen voor het veilig gebruik van het betrokken betaalinstrument niet is nagekomen. In dat geval komt de hele schade voor rekening van Consument. Dit staat in artikel 7:529 BW. De wijze waarop Consument haar betaalpas en beveiligingscodes heeft gebruikt is samen met de voorwaarden die omschrijven hoe zij deze dient te gebruiken om fraude en misbruik te voorkomen bepalend voor de mate waarin de schade voor haar rekening komt.

1. 1. Vaststaat dat Consument op verzoek van een Engelssprekende onbekende een computerprogramma op haar computer heeft geïnstalleerd, waardoor een onbevoegde derde de mogelijkheid heeft gekregen mee te kijken toen Consument haar inlog- en beveiligingscodes invoerde.
      Consument heeft hierdoor de bij de betaalrekening gepersonaliseerde veiligheidskenmerken (te weten haar inlog- en beveiligingscodes) aan de derde prijsgegeven. En dat is in strijd is met artikel 1 van het Informatieblad Betaaldiensten Particulieren. Door haar handelen heeft Consument de derde in staat gesteld onbevoegd gelden van haar betaalrekening af te boeken. Met het prijsgeven van de inlog- en beveiligingscodes aan de onbekende in combinatie met het verlenen van toegang tot haar computer heeft Consument in strijd met de voorwaarden gehandeld op een wijze die naar het oordeel van de Commissie als grof nalatig kan worden gekwalificeerd. Op basis van de voorgaande overwegingen dient Consument de door haar geleden schade zelf te dragen.

1. 1. Artikel 7:529 lid 3 BW biedt de ruimte om, indien wordt geoordeeld dat Consument grof nalatig is geweest maar niet opzettelijk of frauduleus heeft gehandeld, de aansprakelijkheid van Consument te beperken. De omstandigheden dienen daarvoor aanleiding te geven. De Commissie oordeelt dat zij geen aanleiding ziet de aansprakelijkheid van Consument te beperken. Daarbij geeft zij mee dat de leeftijd van Consument kan meewegen, maar niet van doorslaggevend belang is.

• Beslissing

De Commissie wijst de vordering af.

In artikel 5 van het Reglement van de Commissie van Beroep Financiële Dienstverlening is bepaald in welke gevallen beroep openstaat van bindende beslissingen van de Geschillencommissie Financiële Dienstverlening bij de Commissie van Beroep Financiële Dienstverlening. Daarbij geldt een termijn van zes weken na verzending van deze uitspraak. Op de website van Kifid vindt u praktische informatie over het instellen van beroep. Zie hiervoor www.kifid.nl/consumenten/hoe-wordt-uw-klacht-behandeld.

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.