Internetbankieren zou veilig moeten zijn, maar is dat helaas niet. In 2018 hebben hackers Nederlandse bankrekeningen geplunderd voor bijna € 4.000.000. In dit blog ga ik in op de juridische aspecten van digitale bankroof.
Wat is digitale bankroof?
De ouderwetse bankoverval, waarbij een gemaskerde man met een pistool de bank binnenloopt en de bankemployé bedreigt met de woorden “your money or your life!” komt in Nederland niet meer zoveel voor, om de simpele reden dat banken geen contant geld meer in huis hebben. Criminelen zoeken andere methoden om geld te stelen, soms met bruut geweld, zoals de plofkraak waarbij een pinautomaat wordt opgeblazen. Een listige moderne variant van de bankoverval is hacken. Digitale bankrovers kunnen computers besmetten met een virus en op die manier de beveiligde omgeving van internetbankieren overnemen. Op die manier kan een bankrekening van een nietsvermoedende rekeninghouder worden geplunderd. Als een rekeninghouder ook een spaarrekening of een beleggingsrekening heeft, kan de digitale bankrover nog een stap verder gaan en eerst de beleggingen verkopen om saldo te creëren of geld van de spaarrekening naar de betaalrekening overschrijven. Zo kunnen hogere bedragen worden weggeboekt vanaf een betaalrekening.
Hoe wordt digitale bankroof georganiseerd?
Digitale bankrovers moeten meerdere hobbels nemen voor de buit binnen is. Ze moeten een computer besmetten met een virus (“malware” installeren). Het bemachtigen van de inloggegevens of pincode is niet noodzakelijk voor een geslaagde roof. De criminelen kunnen, nadat ze de controle over de computer hebben overgenomen (bijvoorbeeld via “Anydesk“, legale software), op een apart scherm op afstand betalingen klaarzetten in internetbankieren terwijl ze de gedupeerde afleiden en op een andere website laten kijken op de overgenomen computer. Deze criminelen beschikken niet over de ereader of identifier van de bank en de pincode, en de geplaatste betalingen moeten nog wel worden verzonden. Dat gebeurt dan bijvoorbeeld door de gedupeerde te verleiden tot een andere betaling van een bestelling of iets dergelijks, waarmee de hele set van betalingen wordt verzonden. In feite is dit een combinatie van hacken en een babbeltruc. Het geld gaat naar een rekening van een geldezel die door de criminelen wordt gebruikt om geld weg te boeken. Het is ook mogelijk dat de criminelen een nepbedrijf oprichten op naam van een katvanger, die online een rekening opent. Soms wordt een gestolen identiteit gebruikt. Bij het hacken van een computer komt aardig wat techniek bij kijken, maar er bestaan criminele organisaties die deze software tegen niet al te hoge prijzen verkopen aan andere criminelen, via het “dark web” maar soms ook gewoon via Facebook (zoals blijkt uit dit artikel in de Volkskrant). De makers van de software zijn niet persé dezelfde personen als de daders die het misdrijf plegen (officieel: computervredebreuk, art. 138a Wetboek van Strafrecht). Op computervredebreuk staat een maximumstraf van 4 jaar gevangenis, maar daarmee hebben gedupeerden hun geld nog niet terug. Sluwe criminelen sluizen geld snel weg en kunnen na het uitzitten van hun straf gaan genieten van de buit.
Welke trucs worden gebruikt bij het hacken van computers?
De belangrijkste stap van een digitale bankroof is het overnemen van de besturing van een computer door een andere computer zonder dat de gebruiker van de overgenomen computer zich dat realiseert. De term hacken wordt gebruikt voor opzettelijk en ongemerkt binnendringen. Maar het is ook mogelijk dat de computergebruik met praatjes wordt verleid om software te realiseren waarbij de gedupeerde niet overziet dat de controle over kan worden genomen op afstand. Dat is niet hetzelfde als hacken, omdat het de gedupeerde zelf is die (onbewust) de poort opent voor de indringer. De meest voorkomende truc is het sturen van emails met een link, waarop je kunt klikken. Door te klikken wordt de malware ofwel de schadelijke software ingeladen, zonder dat de gebruiker zich daarvan bewust is. De meeste mensen gebruiken een spamfilter om dit soort emails af te vangen. Criminelen schieten vaak met hagel en hebben heel soms beet. Maar criminelen verzinnen wel telkens nieuwe trucs.
De valse webwinkel
Een voorbeeld van een geraffineerde truc is de valse webwinkel. Een webwinkel kan een façade zijn van een criminele organisatie zonder dat de rekeninghouder dat door heeft. Een consument kan een bestelling plaatsen bij een webwinkel en keurig geleverd krijgen, zodat er vertrouwen ontstaat: de website komt zijn afspraken na, en maakt dus een betrouwbare indruk. Als je dan een vriendelijke mevrouw van de webwinkel aan de telefoon krijgt met het verzoek online een klanttevredenheidsonderzoek in te vullen, dan kan het zijn dat je er niet bij stilstaat dat je op die manier een virus in huis haalt waarmee je computer wordt besmet. Als je later nog een keer de website bezoekt en ook internetbankieren opent dan kunnen grote betalingen naar onbekende rekeningen klaar worden gezet zonder dat je dit weet, die je ook zelf verzendt terwijl je denkt dat je een andere (kleine of onschuldige) betaling verzendt. De criminelen kunnen zelfs zo ver gaan dat ze opnames van spaarrekeningen voor verzending klaar zetten om je betaalrekening te voeden en de buit te vergroten. De vriendelijke mevrouw blijkt dan later lid te zijn van de bende die de digitale bankroof pleegt. Waarschijnlijk heeft ze niet eens haar echte naam gebruikt. Dat heb je pas door als je rekening is geplunderd of als je je computer laat onderzoeken op de aanwezigheid van software die aansturing van je computer op afstand mogelijk maakt. Als je niet dagelijks inlogt op internetbankieren, dan kan het zijn dat je pas na vele dagen of zelfs weken merkt dat geld van je rekening is afgeschreven naar rekeningnummers die je helemaal niet kent. Het voorbeeld dat we hiervoor gaven is een truc die ook wel wordt aangeduid met “social engineering”. Ook boilerrooms en marktplaatsen voor cryptovaluta worden ingezet om eerst vertrouwen te kweken, een stap die wordt gezet voordat de computer wordt besmet. De inspanning is er op gericht om een virus te installeren op een manier die de “klant” niet ziet aankomen omdat hij de andere partij vertrouwt. Lees hier het artikel over het herkennen van onbetrouwbare beleggingswebsites.
Hoe vaak komt digitale bankroof voor?
Banken houden nauwkeurig bij hoe vaak hun klanten slachtoffer zijn van digitale bankovervallen. De Nederlandse Vereniging van Banken (NVB) meldt op haar website dat de schade van “phishing” bij internetbankieren is toegenomen van ruim € 1.000.000 in 2017 tot bijna € 4.000.000 in 2018. Deze bedragen zijn optelsommen van de gestolen saldi van meerdere klanten. Het kan dus gaan om 100 geplunderde rekeningen met een gemiddelde buit van € 40.000 in 2018, met uitschieters naar boven en naar beneden. Ons kantoor heeft zaken behandeld met schades boven € 100.000 waarmee de gedupeerde in één klap alles kwijt is. Daarbij gaat het vaak om ouderen, maar het kan ook om goed beveiligde bedrijven met een supermoderne ICT-omgeving gaan. Opvallend is dat het hacken van mobiel bankieren via de “app” niet voorkomt. Internetbankieren via de website van de bank, via een laptop of desktop, is dus riskanter dan bankieren via een app op de smartphone. De app is simpelweg beter te beveiligen tegen ongewenste indringers. Overigens is het de vraag of de schade in werkelijkheid niet hoger is. Sommige gedupeerden schamen zich en doen geen aangifte.
Wedloop met criminelen
Banken waarschuwen klanten voor de risico’s van internetbankieren. Geld zou veilig moeten zijn bij een bank. Alle banken geven voorlichting over veilig internetbankieren op hun websites. Daarnaast ontplooien de banken gezamenlijke initiatieven, zoals de website veiligbankieren.nl. Daarbij valt op dat de banken waarschuwen voor reeds bekende trucs en methodes van criminelen, maar niet voor nieuwe trucs die nog niet zo algemeen bekend zijn, erg ingewikkelde trucs of trucs die maar weinig worden toegepast. Eigenlijk is sprake van een wedloop tussen de criminelen en de banken. De banken lopen achter de feiten aan en waarschuwen voor de methodes die de criminelen in het verleden met succes hebben toegepast, en de criminelen proberen telkens nieuwe trucs uit waarvoor consumenten nog niet zijn gewaarschuwd, zoals de hiervoor beschreven truc met de “betrouwbare” webwinkel. Wie de waarschuwende berichten over veilig bankieren op de websites naloopt, zal tevergeefs zoeken naar een waarschuwing voor de methode die de criminelen in deze zaak hebben toegepast (met een hoge schade tot gevolg).
Bestaat een recht op vergoeding van schade?
Op de meeste websites van banken staat dat een rekeninghouder die zich aan de “uniforme veiligheidsregels” van de bank houdt zijn schade vergoed krijgt als hij of zij zich aan de regels heeft gehouden. Die mededeling geeft nog geen antwoord op de vraag of een rekeninghouder juridisch een afdwingbaar recht op schadevergoeding heeft. Banken hebben in hun voorwaarden de risico’s naar de rekeninghouder verschoven. Dat was vroeger bij de ouderwetse bankoverval wel anders; bankovervallers gingen er met contant geld vandoor, maar dat was geld van de bank, en geen geld van de klant. Bij digitale bankroof komt de schade in eerste instantie altijd terecht bij de rekeninghouder en niet bij de bank. De bank kan zich op het standpunt stellen dat de rekeninghouder geen antivirus-software heeft gebruikt, onvoorzichtig is geweest door anderen toegang te geven tot zijn computer, enzovoort. Schadevergoeding wordt vaak geweigerd, zelfs als de klant de veiligheidsregels wel heeft gevolgd. De rekeninghouder is zo afhankelijk geworden van “coulance”. Met deze term wordt de bereidheid van de bank om schade in bepaalde gevallen te vergoeden aangeduid terwijl de bank tegelijkertijd volhoudt dat zij daartoe juridisch niet verplicht is. Een soort gunst. U raadt het al, er zijn ook gevallen waarin de bank ijskoud blijf volhouden dat de klant nalatig is geweest en dus de schade zelf maar moet dragen. Dat komt natuurlijk hard aan bij iemand die al zijn geld kwijt is. Ons kantoor heeft al veel van dit soort zaken behandeld. Dan gaat het om mensen die al hun vertrouwen in de bank kwijt zijn omdat schadevergoeding botweg wordt geweigerd.
Wat vindt de rechter?
Er zijn maar weinig uitspraken van onafhankelijke rechters over de schadevergoedingsplicht van banken bij malware, spear phishing en virussen. De meeste gepubliceerde rechtszaken zijn strafzaken: af en toe wordt een digitale bankrover gepakt en veroordeeld door de strafrechter. Civiele rechtszaken over dit onderwerp zijn schaars. Maar er kan wel een rode draad worden afgeleid uit een procedure die is gevoerd bij het gerechtshof Den Bosch. Het ging om een bedrijf waarvan de rekening geplunderd was via een hack. De rechter vond dat banken een zorgplicht hebben om klanten goed voor te lichten en wilde precies weten op welke manier de banken voorlichting hadden gegeven om de betreffende vorm van criminaliteit te voorkomen. Daarbij vond de rechter het niet belangrijk of de medewerkers van het bedrijf deze voorlichting echt hadden gezien of gehoord (dat valt toch niet te controleren). Hieruit kun je twee dingen afleiden. In de eerste plaats dat schadevergoeding minder kans maakt bij de rechter als de criminelen met succes een methode hebben toegepast waarvoor de banken al lang en breed hebben gewaarschuwd (bijvoorbeeld klassieke gevallen van phishing, of personen die opbellen, zeggen dat ze van de bank zijn en inloggegevens opvragen). Maar het tegendeel geldt dan ook. Als criminelen een geraffineerde, innovatieve methode inzetten, waarvoor (nog) niet wordt gewaarschuwd, dan kan de bank verantwoordelijk worden gehouden voor de schade wegen het niet in acht nemen van de zorgplicht. Er geldt een waarschuwingsplicht voor de risico’s van fraude met internetbankieren. Dat is volgens de rechtspraak geen algemene waarschuwingsplicht, maar een verplichting om voor specifieke varianten van fraude te waarschuwen. Een zaak bij ons kantoor begint dan ook met feitenonderzoek: wat is er nu precies gebeurd? Welke sporen van de de criminelen zijn nog op de computer te vinden? Aansturing op afstand is bijna altijd te bewijzen. Welke webpagina’s zijn bezocht? In deze beginfase schakelen we meestal een expert in die de computer “uitleest”. Let op: als u langs de bank gaat kunt u het advies krijgen om de computer schoon te maken. Maar dan wist u ook sporen en benadeelt u uw eigen bewijspositie in de rechtszaak: deze fase moet u professioneel laten begeleiden. Omdat elke zaak anders is en criminele methodes voortdurend veranderen, maken rechtszaken (bij de huidige stand van de rechtspraak) vooral kans als in de betreffende zaak een nieuwe truc of een variant op een bestaande truc is toegepast. Een andere “aanvliegroute” om aansprakelijkheid van banken te realiseren is de rechtspraak over de verplichting van banken om ongebruikelijke transacties tegen te gaan (transactiemonitoring). Deze rechtspraak hangt samen met regels van de toezichthouder en is sterk in ontwikkeling. Die ontwikkeling wordt beïnvloed door andere vormen van financiële fraude, zoals factuurfraude en beleggingsfraude. In sommige andere Europese landen heeft de wetgever schadevergoeding verplicht gesteld. In Nederland niet. Het onderwerp staat momenteel niet op de politieke agenda. Dat kan te maken hebben met de kracht van de financiële lobby: banken hebben veel macht en invloed op politieke besluitvorming. Concreet betekent dit dat gedupeerden aangewezen zijn op een deskundige advocaat en op de onafhankelijke rechter die de bank terugfluit als schadevergoeding wordt geweigerd.
Advocaat inschakelen?
Enerzijds wijzen banken schadeclaims vaak af, anderzijds zitten banken niet altijd te wachten op een rechtszaak. Het komt voor dat een bank de schade in eerste instantie niet wil vergoeden. Daar kunnen zij anders over gaan denken als de gedupeerde een advocaat inschakelt die een sommatiebrief stuurt. Dat geldt zeker als een dagvaarding wordt uitgebracht; de bank realiseert zich dan dat de gedupeerde het er niet bij laat zitten en er ontstaat een (openbare) rechtszaak, waarbij de bank risico op negatieve publiciteit loopt. Tegen deze achtergrond komt het vaak voor dat schades worden vergoed via een (geheime) schikking. De benadeelde die zijn schade geheel of gedeeltelijk vergoed krijgt, is meestal blij met het resultaat en bereid om voor geheimhouding te tekenen. Dit verschijnsel uit de praktijk verklaart mede waarom er maar weinig gepubliceerde rechterlijke uitspraken over dit onderwerp te vinden zijn. Banken bereiken zo dat zij in andere zaken kunnen volhouden dat zij geen juridische verplichting hebben. In de praktijk worden echter regelmatig schikkingen getroffen.
Doen de banken genoeg tegen phishing?
Als je ziet dat de schade door gehackte bankrekeningen in een jaar tijd is verviervoudigd tot bijna € 4.000.000, kun je je afvragen of de banken genoeg doen om de schade te voorkomen en te vergoeden. Wij vinden van niet. Om de schade te voorkomen kunnen banken nieuwe producten ontwikkelen, zoals bijvoorbeeld een rekening met een extra veiligheidsstap via een ander apparaat voor het verplaatsen van spaargeld naar een betaalrekening. Zo kun je mensen met een hoog spaarsaldo op een spaarrekening beter beschermen. De kans is niet zo groot dat de crimineel er in slaagt twee verschillende apparaten tegelijk over te nemen. Banken kunnen ook meer doen om de schade te vergoeden. Bijvoorbeeld door een garantiefonds in te voeren om claims van gedupeerden af te wikkelen. Want € 4.000.000 per jaar is peanuts voor de banken, maar een ramp voor de gedupeerden, die al hun geld kwijt zijn en aan de grond komen te zitten. De banken hebben zelf ook belang bij het ruimhartig vergoeden van schade omdat banken bestaan bij de gratie van vertrouwen. Als klanten zich gaan realiseren dat internetbankieren helemaal niet zo veilig is, verliezen de banken klandizie. Wie op deze manier beroofd is, zal nooit meer een bank vertrouwen en stopt liever contant geld in een oude sok. De banken nemen momenteel geen gezamenlijk initiatief om een garantiefonds op te richten. De politiek heeft momenteel ook geen aandacht voor het probleem. Gedupeerden zullen dus aan moeten kloppen bij een advocaat die zonodig een rechtszaak start. Misschien komt er in de toekomst sneller duidelijkheid voor gedupeerden, want de lobbyclub van de banken, de Nederlandse Vereniging van Banken, weet maar al te goed dat internetbankieren riskant is. Deze club zegt op haar website: “Internetbankieren levert veel gemak op, maar maakt consumenten ook kwetsbaar voor criminelen” (bron).
Gepubliceerd door Marius Hupkes