{ Kifid }

Kifid Kennis

Er is geld van mijn rekening geboekt, maar ik heb niet met die betalingen ingestemd. Moet de bank dit vergoeden?

Laptop met bankpas in avondlicht.

De situatie

Er zijn bedragen overgemaakt vanaf uw bankrekening of met uw creditcard zonder dat u toestemming heeft gegeven. Bijvoorbeeld nadat uw bankpas, creditcard of telefoon is gestolen. Of nadat u per e-mail of sms werd verzocht om uw (creditcard)gegevens te bevestigen of te updaten. U heeft in deze gevallen niet zélf de betalingen verricht en vindt dat de bank/creditcardmaatschappij daarom de schade moet vergoeden. U wilt weten waar u in deze situatie recht op heeft.

Heeft u zélf geld overgeboekt naar een oplichter? Die gevallen beoordeelt Kifid op een andere manier. Lees er meer over in het kennisdocument “Zelf geld overboeken naar een oplichter”.

De algemene regel

De algemene regel
Als u niet zelf heeft ingestemd met een betaling moet de bank de schade in principe vergoeden. Daarop bestaat wel een uitzondering. De bank hoeft dit niet te doen als u zelf fraude hebt gepleegd, of opzettelijk of met grove nalatigheid de veiligheidsregels van de bank niet bent nagekomen. Het is aan de bank om dat aan te tonen. Van u wordt wel verwacht dat u uitlegt hoe een onbevoegd persoon de betalingen heeft kunnen uitvoeren.

Drie voorbeelden

Persoon in donkerblauwe kleding houdt een telefoon vast waarop een lichtgevend waarschuwingsteken met uitroepteken verschijnt.

Een man biedt een product op Marktplaats aan en wordt benaderd door een koper. Deze persoon beweegt de man ertoe om via een zogenaamde link naar een bezorgservice, zijn (bank)gegevens en een door de bank gegenereerde verificatiecode in te vullen. Met die gegevens registreert de koper/fraudeur vervolgens een nieuw toestel voor internetbankieren op naam van de man. Als het toestel (een smartwatch) eenmaal is geregistreerd, installeert de fraudeur er Google Pay op. Omdat de man een volmacht heeft voor de rekening van zijn studerende dochter kan de fraudeur ook bij die rekening. De man heeft al snel door dat er iets niet in de haak is en haalt zijn eigen rekening leeg. Maar de fraudeur boekt 2.000 euro vanaf de spaarrekening van de dochter naar de betaalrekening van haar vader over en doet snel een aantal aankopen voor in totaal 790,60 euro.

De man vindt dat de bank deze schade moet vergoeden, maar daar denkt de bank anders over. Volgens de bank ontving de man op het moment dat de verificatiecode werd aangemaakt en de bank app op de smartwatch van de fraudeur werd geïnstalleerd de volgende waarschuwing: ‘(warning) Registreer je nu zelf een toestel? Nee? Stop dan! Je registreert je toestel voor online bankieren’. Toch vindt de man dat hij er niets aan kan doen omdat hij meteen zijn rekening heeft leeggehaald toen hij onraad rook, hij niet wist dat hij voor de rekening van zijn dochter een volledige volmacht had en hij ook niet wist dat er zo snel, zonder ‘tijdslot’, een smartwatch aan zijn rekening kon worden gekoppeld.

De Geschillencommissie van Kifid buigt zich over de zaak en stelt allereerst vast dat hier sprake is van niet-toegestane betalingstransacties. De man heeft de betalingen immers niet zelf verricht. In dat geval is de bank aansprakelijk, tenzij er sprake is van grove nalatigheid aan de kant van de consument. En dat is hier het geval, omdat de man na ontvangst van de waarschuwingsmelding niet meteen is gestopt. Verder bestaat er, zegt de Geschillencommissie, voor de bank geen wettelijke verplichting om een ‘tijdslot’ te hanteren, een periode waarin met het ‘nieuwe’ geregistreerde toestel nog geen betalingen kunnen worden gedaan. Het argument van de man dat hij niet wist dat via zijn rekening ook de rekening van zijn dochter bereikt kon worden, helpt hem niet. De bank laat een afschrift van de volmacht zien waaruit blijkt dat de man bevoegd is om over de rekening te beschikken. Kortom: de bank hoeft de schade niet te vergoeden. (GC 2024-0864)

Close-up van een hand die een smartphone bedient, met blauw licht van het scherm in een donkere ruimte.

Een man wil zijn schoonmoeder helpen die een sms heeft ontvangen met de mededeling dat ze douanekosten moet betalen, een bedrag van 2,99 euro. Het bericht bevat een betaallink waar de man op klikt, waarna hij wordt doorgeleid naar een website waar hij denkt het gevraagde bedrag te betalen. Hij denkt dat daarmee de kous af is, maar vervolgens koppelt de fraudeur een nieuw toestel aan de creditcard en verricht er drie betalingen mee voor een bedrag van in totaal 4.999,32 euro. Deze betalingen worden geautoriseerd via de app op het nieuwe telefoontoestel. De man neemt contact op met de creditcardmaatschappij, hij vindt dat de creditcard slecht is beveiligd. De hacker heeft de betalingen verricht zonder dat hij het wist en zonder zijn toestemming.

De zaak komt terecht bij de Geschillencommissie van Kifid die allereerst vaststelt dat het hier om niet-toegestane betalingstransactie gaat die de man niet zelf heeft verricht. Dat betekent dat de bank in principe aansprakelijk is, tenzij de man grove nalatigheid kan worden verweten. Dat blijkt hier het geval te zijn. De creditcardmaatschappij heeft toegelicht dat een betaling alleen kan worden goedgekeurd vanaf een geautoriseerd toestel. Om een nieuw toestel aan de creditcard te koppelen moet een aantal gegevens worden ingevoerd. Het gaat om gegevens die alleen de man kan of behoort te weten, zoals informatie over de geldigheid van de creditcard, de CVV-code en de verificatiecodes. De man heeft ook niet toegelicht hoe de fraudeur deze gegevens heeft kunnen bemachtigen, hij stelt alleen dat er sprake zou zijn van een hack. De commissie vindt het onwaarschijnlijk dat de fraudeur alle gegevens via een hack heeft bemachtigd en gaat ervan uit dat het niet anders kan dan dat de man zijn gegevens en de verificatiecodes zelf heeft ingevuld op de website. Uit het administratiesysteem van de creditcardmaatschappij blijkt dat deze codes naar zijn e-mailadres en telefoonnummer zijn verzonden. Zonder de (beide) verificatiecodes is het niet mogelijk om een nieuw toestel aan de creditcard te koppelen. De consument heeft de creditcard dus niet veilig gebruikt en ‘grof nalatig’ gehandeld. Daarom komt de schade voor zijn eigen rekening. (GC 2024-0950)

Ouder stel zit aan tafel met een laptop; de vrouw houdt een document vast terwijl ze bezorgd kijkt, en de man raakt met zijn hand zijn hoofd aan.

Een kleinzoon heeft in het verleden zijn opa en oma regelmatig geholpen met hun online bankzaken: hij installeerde internetbankieren en hielp met het instellen van gebruikersnamen en wachtwoorden. Ook had hij toegang tot hun woning en brievenbus als zij niet thuis waren. Hij heeft dat vertrouwen al eens beschaamd door geld over te schrijven naar zijn eigen betaalrekening. De vader van de kleinzoon heeft dat toen teruggestort aan de grootouders.

In 2022 gaat het opnieuw mis wanneer de kleinzoon zijn grootouders te hulp schiet. Hij zet met behulp van de betaalpas en de pincode van zijn grootouders het ontvangen van papieren afschriften stop, zodat zijn opa en oma niets door zullen hebben. Vervolgens boekt hij hun spaarsaldo over van hun spaarrekeningen naar hun betaalrekening. Vanaf de betaalrekening boekt hij verspreid over meerdere kleinere en grotere betaalopdrachten in totaal bijna 80.000 euro over naar zijn eigen zakelijke rekening. Zijn opa en oma komen er uiteindelijk achter, doen aangifte en er volgt een strafrechtelijke veroordeling. Maar ook dienen de grootouders (opa wordt na zijn overlijden vertegenwoordigd door zijn dochter) een klacht in bij de bank en later bij Kifid. Zij vinden dat de bank nalatig is geweest en alerter had moeten zijn op de signalen. Al het geld, het hele banksaldo, werd immers overgemaakt naar de rekening van de kleinzoon. Dat de papieren afschriften stop zijn gezet, maakt dat dit extra opvallend had moeten zijn voor de bank.

De Geschillencommissie van Kifid stelt allereerst vast dat het hier gaat om niet-toegestane betalingstransacties. De bewering van de bank dat de betalingen zijn gedaan volgens de juiste vorm en procedure met de betaalpas en de pincode maakt dit niet anders, nu er een gedetailleerde aangifte ligt en de kleinzoon is veroordeeld. Bij niet-toegestane betalingen moet de bank de schade vergoeden, tenzij er aan de kant van de klant sprake is van fraude of nalatigheid. En dat is hier het geval. Hoewel de Geschillencommissie begrijpt dat ouderen hulp inschakelen bij het installeren en bijwerken van internetbankieren, hadden deze opa en oma alerter moeten zijn. Zij hebben hun beveiligingscodes met de kleinzoon gedeeld, terwijl zij wisten dat hij eerder geld naar zichzelf had overgemaakt. Na dat incident troffen de grootouders geen maatregelen om hun rekeningen te beschermen. De kleinzoon had steeds toegang. De Geschillencommissie ziet dat als grove nalatigheid en de schade komt dus voor eigen rekening. Tot slot is de bank ook niet te verwijten dat zij alerter had moeten zijn. De bank had geen reden om gealarmeerd te raken door de betaalopdrachten, ook omdat de grootouders in het verleden zelf geregeld bedragen opnamen. De bank heeft haar zorgplicht niet geschonden. (GC 2024-0020)

Uitleg

Er is een (juridisch) verschil tussen toegestane en niet-toegestane betalingen. Dit onderscheid is van groot belang voor de manier waarop met uw klacht wordt omgegaan. Met een toegestane transactie wordt bedoeld dat u zelf met de betaling heeft ingestemd. Lees meer over toegestane betalingen het kennisdocument “Zelf geld overboeken naar een oplichter”.

Heeft u niet zelf ingestemd met de betaling, dan geldt in principe dat de bank of creditcardmaatschappij de schade moet vergoeden. Hierop geldt een wettelijke uitzondering. Wanneer u zelf fraude heeft gepleegd of opzettelijk of met grove nalatigheid de veiligheidsregels van de bank niet bent nagekomen, bent u zelf aansprakelijk voor de schade. Dit is bijvoorbeeld het geval wanneer u uw pincode of andere beveiligingscodes zelf heeft doorgegeven aan de oplichters of deze niet veilig heeft bewaard of als u oplichters op een andere manier in de gelegenheid heeft gesteld geld over te boeken. Ook het negeren van een fraudewaarschuwing van de bank kan grof nalatig zijn.

Het is aan de bank om te bewijzen dat u grof nalatig heeft gehandeld, maar op u rust wel een ‘verzwaarde motiveringsplicht’. Dat betekent dat u zo goed mogelijk moet uitleggen hoe de betalingen konden plaatsvinden. Hoe zijn de oplichters bijvoorbeeld aan uw bankpas, pincode of digitale inloggegevens gekomen? Kunt u dat niet, dan kunt u de schade ook niet verhalen op de bank.

Het komt een enkele keer voor dat Kifid de aansprakelijkheid van consumenten beperkt, ook al is sprake van grove nalatigheid. Dit gebeurde bijvoorbeeld in de uitspraak van de Commissie van Beroep met uitspraaknummer 2025-0012 en de uitspraak van de Geschillencommissie met uitspraaknummer 2024-1126. In deze zaken speelden bijzondere omstandigheden.

Consumenten beroepen zich er regelmatig op dat er sprake was van ongebruikelijke betalingen en dat de bank deze daarom had moeten tegenhouden. De vaste lijn van de Geschillencommissie is dat de bank geen algemene monitoringsplicht heeft. De bank is dus niet verplicht om uw betalingen te controleren voordat zij deze uitvoert. Dit kan anders zijn als de bank wist dat van ongebruikelijk betalingsverkeer sprake was.

Ook beroepen consumenten zich regelmatig op het door een aantal Nederlandse banken opgestelde coulancekader bij bankhelpdeskfraude. Dit coulancekader is alleen van toepassing wanneer het gaat om toegestane betalingen (dus betalingen waarmee u zelf heeft ingestemd). Als het gaat om overboekingen waarmee u niet zelf heeft ingestemd, kunt u dus geen beroep doen op dit coulancekader.

Lees meer over het coulancekader bij toegestane betalingen in het kennisdocument “Zelf geld overboeken naar een oplichter”.

Tips

  • Geef nooit uw pincode of andere inloggegevens of beveiligingscodes door aan derden. Geef ook nooit uw bankpas af aan derden. Geef derden nooit toegang tot uw bankrekeningen door bijvoorbeeld het programma Anydesk te downloaden. Uw bank zal u hier nooit om vragen.
  • Blokkeer direct uw bankpas, creditcard en/of bankrekening bij een vermoeden van fraude of bij verlies van uw bankpas, creditcard of telefoon. In veel gevallen kunt u dit zelf via de app van de bank. Neem ook direct contact op met de bank.
  • Omschrijf richting de bank en ook in een Kifid-procedure zo goed en gedetailleerd mogelijk wat er is gebeurd. Alleen op die manier kan beoordeeld worden of u daadwerkelijk nalatig bent geweest of dat er omstandigheden zijn die maken dat u recht heeft op een schadevergoeding.

Meer informatie

Meer over dit onderwerp

  • Uniforme veiligheidsregels: Op deze pagina vindt u de uniforme veiligheidsregels met toelichting die de Nederlandse banken hebben opgesteld. In het kort zijn dat de volgende:

    1. Houd uw beveiligingscodes geheim.
    2. Laat uw  bankpas nooit door een ander gebruikten.
    3. Beveilig de apparatuur die u gebruikt voor uw bankzaken.
    4. Controleer uw bankrekening.
    5. Meld incidenten direct aan de bank en volg de aanwijzingen van de bank op.

  • Meer informatie over de verschillende vormen van fraude en het voorkomen daarvan is te vinden op de website Herken fraude. Voorkom fraude.

Meer voorbeelden uit de Kifid-praktijk

Vindplaats van de genoemde wet- en regelgeving

Burgerlijk wetboek over toestaan van betalingstransacties  (Artikelen 7:522-531)

De informatie in dit kennisdocument is bedoeld om u inzicht en achtergrond te geven in de manier waarop Kifid met klachten over een bepaald onderwerp omgaat. Dit kan u helpen bij de voorbereiding van uw eigen zaak. Uiteraard is elke situatie anders. In uw klachtzaak kan een omstandigheid spelen die wij hier niet hebben genoemd.