Een belangrijke juridische ontwikkeling binnen de Europese Unie kan grote gevolgen hebben voor banken en slachtoffers van online fraude. Athanasios Rantos, advocaat-generaal bij het Hof van Justitie van de Europese Unie (CJEU), heeft in een officieel advies gesteld dat banken in principe verplicht zijn om slachtoffers van ongeautoriseerde betalingen onmiddellijk terug te betalen. Dat geldt zelfs wanneer de klant zelf een fout heeft gemaakt die tot de fraude heeft geleid.
Het advies kwam naar aanleiding van een rechtszaak in Polen. De District Court in Koszalin vroeg het Europese hof om verduidelijking in een conflict tussen de Poolse bank PKO BP en een klant die slachtoffer werd van phishing.
Phishing
In deze zaak had de klant een product te koop aangeboden op een online veilingplatform. Kort daarna werd hij benaderd door een fraudeur die een link stuurde naar een website die sterk leek op de inlogpagina van zijn bank. Zonder het te beseffen voerde de klant zijn bankgegevens in op deze nepwebsite. De fraudeur gebruikte die gegevens vervolgens om een betaling uit te voeren vanaf de bankrekening van het slachtoffer.
De volgende dag meldde de klant de transactie zowel bij de bank als bij de politie. De daders werden echter nooit geïdentificeerd. De bank weigerde het verloren bedrag terug te betalen, omdat zij van mening was dat de klant nalatig had gehandeld door zijn inloggegevens op een verdachte website in te voeren. De klant besloot daarop naar de rechter te stappen.
Volgens Rantos moet in zulke situaties eerst worden gekeken naar de Europese Payment Services Directive 2 (PSD2), een richtlijn die regels vastlegt voor elektronische betalingen binnen de EU. Op basis van die richtlijn stelt de advocaat-generaal dat banken verplicht zijn om een ongeautoriseerde betaling onmiddellijk terug te storten, tenzij er sterke aanwijzingen zijn dat de klant zelf fraude heeft gepleegd.
Fraude
Als een bank vermoedt dat er fraude is gepleegd door de klant, moet zij dat schriftelijk melden aan de bevoegde nationale autoriteiten. Pas daarna kan de bank verder onderzoeken of de klant mogelijk bewust of door grove nalatigheid heeft bijgedragen aan het beveiligingsincident.
Het advies betekent echter niet dat banken altijd de kosten moeten dragen. Wanneer een bank later kan aantonen dat de klant opzettelijk of door ernstige nalatigheid zijn beveiligingsverplichtingen heeft geschonden, mag zij alsnog proberen het geld terug te vorderen. In dat geval kan de bank zelfs een juridische procedure starten tegen de klant om het bedrag terug te krijgen.
Het advies van Rantos is nog geen definitieve uitspraak van het Europese hof. Advocaten-generaal geven juridisch advies aan de rechters van het CJEU, maar het uiteindelijke oordeel wordt later door het hof zelf geveld. In de praktijk volgen rechters dat advies echter vaak.
Als het hof uiteindelijk dezelfde lijn kiest, kan dit een belangrijke versterking betekenen van de bescherming van consumenten tegen online fraude in de Europese Unie.