Business
Trending
TechPulse op WhatsApp Windows 11 Philips Hue Alles over e-bikes
Nieuws
Jeffrey van de Velde

Bank weigert phishingschade terug te betalen? EU-advies zet sector onder druk

Phishing terugbetaling van bank
© iStock - Just_Super
Athanasios Rantos, adviseur bij het Europese Hof van Justitie (CJEU), heeft een formeel advies uitgebracht over hoe banken moeten omgaan met slachtoffers van phishing. Volgens Rantos moeten slachtoffers in principe altijd hun schade vergoed krijgen.

De huidige wetgeving stelt al dat banken doorgaans de schade van klanten moeten vergoeden. Dat hoeft echter niet wanneer er sprake is van ‘grove nalatigheid’, een argument dat banken steeds vaker inroepen. KBC kwam onlangs zelfs met een phishingverzekering om klanten tegen zulke schade te beschermen. Maar als het aan Athanasios Rantos ligt, zullen banken veel vaker verplicht worden om die schade gewoon terug te betalen.

Poolse phishingzaak aan de basis

Het formele advies van Rantos kwam er na een phishingzaak in Polen tussen PKO Bank Polski en een van zijn klanten. In die zaak werd een klant opgelicht via een veilingplatform. Via dat platform werd de klant benaderd met een malafide betaallink die sterk leek op de website van zijn bank. De klant vulde daar zijn logingegevens in, waarna de cybercrimineel die gegevens gebruikte om een frauduleuze transactie uit te voeren.

Toen het slachtoffer de schade wilde verhalen, weigerde de bank echter tussen te komen. Volgens de bank was de schade het gevolg van nalatigheid van de klant zelf.

Alleen bij ‘grove nalatigheid’ mag bank weigeren

Volgens Rantos kan een bank een vergoeding niet zomaar weigeren. In zijn advies verwijst hij naar de Europese Payment Services Directive, beter bekend als de PSD2-wetgeving (2015/2366).

Daarin staat dat banken fraude in principe moeten vergoeden. Alleen wanneer een bank gegronde redenen heeft om fraude te vermoeden, mag zij een vergoeding (tijdelijk) weigeren. In dat geval moet de bank dit ook schriftelijk melden aan de bevoegde nationale autoriteit.

Pas wanneer er daadwerkelijk sprake is van grove nalatigheid, of wanneer een klant bewust veiligheidsregels negeert, kan een bank weigeren om de schade te vergoeden. Denk bijvoorbeeld aan het bewust delen van wachtwoorden of andere gevoelige gegevens.

Zelfs wanneer een bank eerst verplicht is om de schade te vergoeden, kan ze de zaak overigens nog verder onderzoeken. Blijkt later alsnog dat er sprake was van grove nalatigheid, dan kan de bank de kosten alsnog bij de klant verhalen.

Nog geen definitief oordeel

Voorlopig gaat het nog om een formeel advies van de Advocaat-Generaal van het Europese Hof van Justitie. De rechters van het CJEU moeten zich nog over de zaak uitspreken en komen later met een definitief oordeel. In de praktijk volgen rechters van het hof vaak het advies van de Advocaat-Generaal. Als dat ook hier gebeurt, kan dat betekenen dat banken in de EU phishing­slachtoffers vaker en sneller moeten vergoeden.

Een uitspraak van het CJEU is bovendien bindend voor alle Europese rechtbanken. Ook in België zullen banken en rechters zich dan naar dat oordeel moeten richten. Wat dat precies betekent voor de phishingverzekering van KBC, die net bedoeld is voor twijfelgevallen, is voorlopig nog niet duidelijk.

Uitgelicht artikel Belfius Tientallen phishing-slachtoffers klagen Belfius aan
Beveiligingbusinessphishing
Profielfoto Jeffrey van de Velde
Jeffrey van de Velde
Als hoofdredacteur van TechPulse brengt Jeffrey acht jaar expertise mee in mobiele technologie, IT en telecom. Hij houdt niet alleen die sectoren scherp in de gaten, maar heeft ook een uitgesproken passie voor e-bikes, en duikt met evenveel enthousiasme in elke nieuwe innovatie die de techwereld te bieden heeft.

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Nieuw op TechPulse

Business