15 mei Niet elke vorm van helpdeskfraude is spoofing
Een klant van een bank stelt dat hij slachtoffer is van spoofing en doet een beroep op de coulanceregeling, zodat zijn schade wordt vergoed. Zowel de bank als de kantonrechter wijst dat af.
Een klant houdt bij een bank enkele rekeningen. Op een dag vinden daarop, binnen een half uur, vier transacties plaats: € 14.500 van zijn beleggersrekening naar zijn betaalrekening, en vanaf daar drie overboekingen van in totaal € 14.380 naar zijn cryptorekening bij een cryptoplatform. Een kwartier na de laatste transactie doet de man bij zijn bank een melding van fraude, omdat die cryptorekening deels is geplunderd.
‘Verdachte transacties’
Bij de politie verklaart de man dat hij die avond is gebeld door ‘iemand’ van de afdeling fraude van zijn bank. Vanaf zijn betaalrekening zouden verdachte transactie plaatsvinden naar een bankrekeningnummer in Turkije. Om zijn bankrekening ‘veilig te stellen’, moest de man het programma Anydesk op zijn computer installeren, wat hij deed. Hij checkte wel nog of de man echt van de bank was. Die belde inderdaad vanaf het nummer van de bank, en noemde een aantal apps die de man gebruikte, waaronder Coinmerce, waarop hij een cryptorekening heeft. Het latere slachtoffer voerde codes in op zijn e-dentifier en voerde transacties uit door middel van het scannen van een QR-code. Zo werden meerdere bedragen overgemaakt naar zijn cryptorekening bij Coinmerce. Daarmee zijn vervolgens crypto’s gekocht, waarvan een deel (waarde € 5.905) is overgeboekt naar een onbekende cryptorekening. Daarna kreeg de man door dat hij was opgelicht.
Spoofing
De man doet een beroep op de coulancevergoeding van de bank, nu hij slachtoffer is van bankhelpdeskfraude (spoofing). Als de bank compensatie afwijst, stapt de man naar de rechtbank Amsterdam. Banken hebben verwachtingen bij de buitenwereld gewekt dat klanten deze regeling kunnen afdwingen, stelt de man. De regeling is niet vrijblijvend, bij spoofing moeten klanten worden gecompenseerd. Volgens de bank is de coulanceregeling niet afdwingbaar (dat blijkt al uit het woord ‘coulance’). Mocht dat wel zo zijn, dan kan deze klant zich hier niet op beroepen: zijn geval was feitelijk geen spoofing. De overboekingen gingen naar zijn rekening bij Coinmerce, de bedragen kwamen dus hemzelf ten goede. Verder is de man niet overgehaald om betalingen te verrichten naar een zogenaamd veilige rekening (dat zou wel spoofing zijn). Hij heeft zelf Anydesk geïnstalleerd en de fraudeurs daarmee de beschikking gegeven over zijn rekeningen.
Coulanceregeling
Ook de kantonrechter stelt dat de coulanceregeling rechtens niet afdwingbaar is: er bestaat geen eenzijdig onherroepelijk aanbod om klanten te compenseren. Dat aanbod is er pas als een partij (de bank) een overeenkomst voorstelt waaruit dit zou blijken. De coulanceregeling is niet meer dan een toetsingskader dat banken gebruiken om de coulancevergoeding voor slachtoffers van spoofing te bepalen. Los daarvan: de kwestie van deze man voldoet niet aan alle voorwaarden voor toepassing van de coulanceregeling. Dit was geen ‘echte’ spoofing, zoals de bank al betoogde. De man werd niet overgehaald geld over te maken naar een ‘zogenaamd veilige rekening’ van de fraudeur, vindt ook de kantonrechter.
Niet afdwingbaar
Wel heeft de man schade geleden toen zijn crypto’s bij Coinmerce naar een onbekende rekening zijn overgemaakt. Dit gaat buiten zijn bank om. De interne overboeking (van zijn beleggersrekening naar de betaalrekening) heeft niet tot schade geleid. De kantonrechter oordeelt dat de coulanceregeling, die rechtens niet afdwingbaar is, niet van toepassing is op het geval van dit slachtoffer. De man krijgt geen compensatie.