Uitspraak
GERECHTSHOF AMSTERDAM
afdeling civiel recht en belastingrecht, team I
zaaknummer: 200.287.054/01 KG
zaak-/rolnummer rechtbank Amsterdam: C/13/690140/KG ZA 20-851
arrest van de meervoudige burgerlijke kamer van 6 juli 2021
inzake
[appellante]
wonend te [woonplaats] ,
appellante,
advocaat: mr. U. Arslan te Den Haag,
tegen
ING BANK N.V.,
gevestigd te Amsterdam,
geïntimeerde,
advocaat: mr. I.M.C.A. Reinders Folmer te Amsterdam.
1.Het geding in hoger beroep
Partijen worden hierna [appellante] en ING genoemd.
[appellante] is bij dagvaarding van 7 december 2020 in hoger beroep gekomen van het vonnis van de voorzieningenrechter in de rechtbank Amsterdam van 9 november 2020 onder bovenvermeld zaak-/rolnummer in kort geding gewezen tussen [appellante] als eiseres en ING als gedaagde. De appeldagvaarding bevat de grieven.
Partijen hebben de volgende stukken ingediend:
- appeldagvaarding houdende de gronden van het hoger beroep;
- memorie van antwoord, met producties.
Ten slotte is arrest gevraagd.
[appellante] heeft geconcludeerd, samengevat, dat het hof het bestreden vonnis zal vernietigen en haar vorderingen alsnog zal toewijzen, met beslissing over de proceskosten, met rente.
ING heeft, samengevat, geconcludeerd tot bekrachtiging van het vonnis waarvan beroep, met beslissing over de proceskosten, met nakosten.
2.De zaak in het kort en de feiten
2.1.
[appellante] vordert in dit geding ongedaanmaking van de blokkering van haar bankrekening en verwijdering van de registratie van haar persoonsgegevens in het EVR en het Incidentenregister van ING. ING was tot deze maatregelen overgegaan op grond van aanwijzingen dat [appellante] betrokken is bij zogenoemde whatsapp-oplichting.
2.2.
De voorzieningenrechter heeft de vorderingen van [appellante] afgewezen. Volgens de voorzieningenrechter heeft [appellante] bedoelde aanwijzingen onvoldoende weerlegd en is wat de registraties in het Incidentenregister en het EVR betreft, voldaan aan de eisen van subsidiariteit en proportionaliteit. [appellante] komt in hoger beroep met tien grieven tegen deze beslissing op.
2.3.
De voorzieningenrechter heeft in haar vonnis onder 2.1 tot en met 2.11 de feiten opgesomd die zij bij de beoordeling van het geschil van partijen tot uitgangspunt heeft genomen. Met haar grieven 1 tot en met 4 maakt [appellante] bezwaar tegen de onder 2.3, 2.5, 2.8 en 2.10 vermelde feiten. Het hof zal met haar bezwaren in de weergave van de feiten hierna rekening houden. Voor het overige zijn de feiten niet in geschil en dienen deze ook het hof tot uitgangspunt. Waar nodig aangevuld met andere feiten die volgen uit niet of niet voldoende weersproken stellingen van partijen en/of de inhoud van producties waarnaar zij ter staving van hun stellingen verwijzen, komen de feiten neer op het volgende.
(i) [appellante] beschikte over een betaalrekening bij ING met de daaraan gekoppelde betaaldienst van internetbankieren via “Mijn ING” en de ING-App. Op deze rekening-courantovereenkomst waren de Algemene Bankvoorwaarden 2017 van toepassing.
(ii) ING is gebonden aan het Protocol Incidentenwaarschuwings-systeem Financiële Instellingen (PIFI), op basis waarvan zij personen kan opnemen in het Incidentenregister van de bank en in het Extern Verwijzingsregister. De volgende bepalingen zijn daarin opgenomen, waarbij met “de Deelnemer” de financiële instelling wordt bedoeld.
(…) 4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:
Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
op het gebruik van en de deelname aan waarschuwingssystemen.
(...)
4.3.2
Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opname in het Incidentenregister rechtvaardigt.
(...)
5.2.1
De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister. (…)
(iii) Uit de inloggegevens betreffende de rekening van [appellante] blijkt dat de ING-App in de meeste gevallen werd geraadpleegd vanaf een IP-adres beginnend met de cijfers [cijfers] (vgl. productie 3 van ING in eerste aanleg).
(iv) Volgens [appellante] heeft zij op 18 juni 2020 een kantoor van ING bezocht teneinde met behulp van een ING-medewerker haar password te resetten, naar [appellante] stelt omdat zij de ING-App niet meer kon gebruiken.
( v) Op 18 juni 2020 om 16:28 uur is via het IP-adres beginnend met [cijfers] op een ander device dan de (gebruikelijke) iPhone van [appellante] ingelogd op ING Internetbankieren. Vervolgens is op diezelfde dag om 16.30 uur succesvol een nieuw device aangemeld voor de ING-App, met de omschrijving ‘iPhone van [appellante] ’. De dag daarna, 19 juni 2020, is vanaf het IP-adres beginnend met [cijfers] 24 keer ingelogd op de ING-App .
(vi) Op 24 juni 2020 is ten laste van de rekening van [naam] (hierna: [naam] ) een bedrag van € 8.255,00 overgemaakt naar de rekening van [appellante] . [naam] meende aan haar zoon te betalen. [naam] heeft daarna aangifte gedaan van WhatsApp-fraude. Het bedrag van € 8.255,00 werd om 20:45:20 uur bijgeschreven op de rekening van [appellante] . Op diezelfde dag om 20:45:36 uur heeft [appellante] ingelogd op de ING-App. Er is die dag 24 keer ingelogd op de ING-App vanaf het IP-adres beginnend met [cijfers] .
(vii) Om 20:47:00 uur is de paslimiet verhoogd naar € 8.500,00. De desbetreffende opdrachtgever (met een IP-adres [cijfers] ) logde vervolgens om 20:58:17 uur opnieuw in op Mijn ING en voerde om 20:59:41 uur een opdracht tot betaling van € 1,00 aan [naam 2] in. Vanuit “Mijn ING” wordt vervolgens gevraagd om bevestiging van de opdracht via een TAN-code dan wel de ING-App. Deze bevestiging is er niet gekomen, waardoor de betaling niet is uitgevoerd.
(viii) Om 21:07:37 uur, om 21:28:46 uur en om 23:55:47 uur is een overboeking gedaan van € 1,00 naar de Oranje Spaarrekening van [appellante] (vgl. productie 4 van ING in eerste aanleg).
(ix) Om 23:58:53 uur is vanaf IP-adres [cijfers] een betaalopdracht van € 8.200,00 ten gunste van [naam 3] ingevoerd. Deze opdracht is niet uitgevoerd omdat ING toen de rekening van [appellante] al had geblokkeerd in verband met vermoedens van fraude. Daarna is nog geprobeerd € 5.000,00 over te boeken naar [naam 3] maar ook dat is niet gelukt.
( x) Vanaf het IP-adres beginnend met [cijfers] en met het gebruikelijke device van [appellante] is die avond om 20:46:05, 20:49:20, 20:54:53, 20:55:24, 20:55:36, 20:56:00, 21:03:49 21:04:01, 21:07:58, 21:26:59, 23:54:32, 23:57:17 en 23:58:09 uur ingelogd op de Ing-App. Na middernacht, dus op 25 juni 2020, is om 0:04:00, 0:26:02, 1:35:19, 3:17:01, 10:23:04, 10:24, 10:26 en 10:34:42 uur de rekening van [appellante] gecontroleerd via de ING-App op het device van [appellante] . Ook heeft zij die ochtend om 10:24 en 10:26 uur (zonder succes) getracht betalingen van € 28,38 en € 11,22 te doen vanaf IP-adres [cijfers] .
(xi) Op 25 juni 2020 om 10:36 uur heeft [appellante] contact opgenomen met ING. Daarbij is het blokkeren van haar rekening aan de orde gekomen.
(xii) [appellante] maakt gebruik van een betaalrekening bij ABN Amro.
3.Beoordeling
3.1.
Niet in geschil is dat van de door [appellante] bij ING aangehouden bankrekening gebruik is gemaakt in het kader van een zogenoemde WhatsApp-fraude, inhoudende dat een via Whatsapp benaderde persoon [naam] onder valse voorwendselen is bewogen om naar die bankrekening geld over te maken, waarna getracht is dit geld door te sluizen naar een derde. ING stelt zich terecht op het standpunt dat een dergelijke gang van zaken een bedreiging vormt voor de bij haar dienstverlening betrokken financiële belangen en dat de integriteit van de financiële sector daardoor in gevaar komt. In het licht hiervan zijn de maatregelen die ING jegens [appellante] heeft getroffen (het blokkeren van haar bankrekening en de registratie van haar gegevens in het Incidentenregister en het EVR) in beginsel gerechtvaardigd te achten.
3.2.
Dit zou anders komen te liggen indien [appellante] , zoals zij betoogt, geen medewerking heeft verleend aan het hiervoor bedoelde gebruik van haar bankrekening en zelf het slachtoffer is geworden van fraude.
Dat dit het geval is echter door [appellante] in het geheel niet aannemelijk gemaakt. In dit verband is het volgende van belang.
3.3.
Op grond van de door ING in het geding gebrachte overzichten van login-gegevens en transacties (producties 3 en 4 in eerste aanleg) alsmede de door [appellante] erkende inlog-frequentie op de ING-app op 24 juni 2020 en haar - niet betwiste - op 25 juni 2020 gedane pogingen om vanaf haar bankrekening twee betalingen te doen, moet worden aangenomen dat [appellante] over twee IP-adressen beschikte, een ‘statisch’ IP-adres [cijfers] (provider T-Mobile Thuis) en een ‘dynamisch’ adres met begincijfers [cijfers] (provider Tele2 Nederland) en dat zij bij het inloggen in de relevante periode gebruik maakte van een device met ID [ID] .
Het betoog van [appellante] dat de voorzieningenrechter - die in het bestreden vonnis alleen de wisselende drie laatste cijfers van het ‘dynamisch’ adres heeft genoemd - wat de raadpleging door [appellante] van haar bankgegevens betreft van onjuiste aannames is uitgegaan, is gelet hierop ongegrond.
3.4.
Zoals hiervoor is overwogen, heeft [appellante] erkend dat zij op 24 juni 2020 veelvuldig op de ING-app heeft ingelogd. Volgens haar kwam dit omdat zij bij de ontdekking van de overmaking door de haar onbekende [naam] van een bedrag van € 8.255,- op haar rekening haar ogen niet kon geloven.
Het veelvuldig inloggen geschiedde die dag echter blijkens de inhoud van de hiervoor genoemde producties van ING niet alleen na de ontvangst op de bankrekening van het van [naam] afkomstige bedrag, maar ook op een aanzienlijk aantal tijdstippen
daarvoor. Voor dit gedrag valt moeilijk een andere verklaring te geven dan dat [appellante] die dag een bijschrijving op haar rekening verwachtte en dat zij, toen deze bijschrijving eenmaal had plaatsgevonden, nauwlettend heeft gevolgd op welke wijze daarover werd beschikt (en dat zij daaraan voor zover vereist haar medewerking heeft willen verlenen). In ieder geval valt haar inloggedrag zonder nadere toelichting, die ontbreekt, niet te rijmen met haar standpunt dat zij door de bijschrijving op haar rekening verrast werd en het ontvangen bedrag wilde terugbetalen naar de rekening van diegene van wie het geld afkomstig was.
[appellante] stelt weliswaar in verband met dit laatste voornemen contact te hebben gezocht met ING, maar op grond van het door ING overgelegd contactoverzicht is voldoende aannemelijk dat [appellante] eerst contact heeft opgenomen met ING de volgende ochtend op een tijdstip dat haar uit mislukte pogingen om vanaf haar bankrekening betalingen te doen, was gebleken dat deze was geblokkeerd.
3.5.
Daar komt bij dat [appellante] geen afdoende verklaring geeft voor het feit dat op 18/5/20 vanaf haar dynamisch IP-adres een ander device aan haar ING-account is gekoppeld, op de door ING overgelegde overzichten aangeduid met “iPhone;CPU” en “iPhone van [appellante] ”. Met dit device is vervolgens diverse malen via Mijn ING toegang tot de rekening van [appellante] verkregen (op 19/5/20 nog eenmaal vanaf het IP-adres van [appellante] en vervolgens vanaf andere IP-adressen), het device is op 24/5/20 gebruikt om drie overmakingen van € 1,- op de Oranje Spaarrekening van [appellante] te doen en is ten slotte op diezelfde datum gebruikt bij pogingen tot het (gedeeltelijk) wegsluizen van het van de WhatsApp-fraude afkomstige geld naar de rekening van een derde. Door [appellante] wordt niet voldoende gemotiveerd betwist dat zij – zoals de voorzieningenrechter heeft overwogen – de betalingen naar haar spaarrekening via de ING-app diende te accorderen (zogenoemde twee-factor-authenticatie), dat de pogingen om het van [naam] afkomstige bedrag over de maken naar een bankrekening van een andere partij slechts konden plaatsvinden met gebruikmaking van haar unieke identificator/gebruikersnaam en haar persoonlijke wachtwoord en voorts dat zij - gelet op haar inlog-gedrag op 24/5/20 - de drie met gebruikmaking van het nieuwe device gedane overmakingen van € 1,- in ieder geval heeft moeten opmerken maar daarin kennelijk toen geen aanleiding heeft gezien om (direct) bij ING te melden dat een derde zich toegang tot haar rekening had verschaft.
Ook dit een en ander wijst erop dat [appellante] haar bankrekening bewust door een derde heeft laten gebruiken en daarmee de door deze gepleegde fraude heeft gefaciliteerd. ING stelt zich gelet hierop terecht op het standpunt dat de feiten in deze zaak een zwaardere verdenking onderbouwen dan een redelijk vermoeden van schuld.
3.6.
Dit brengt mee dat [appellante] in dit kort geding onvoldoende aannemelijk heeft gemaakt dat de door ING jegens haar genomen maatregelen in de gegeven omstandigheden niet gerechtvaardigd zijn. De voorzieningenrechter heeft terecht aangenomen dat ook indien het (overigens weinig geconcretiseerde) nadeel dat [appellante] stelt daarvan in de toekomst te zullen lijden in aanmerking wordt genomen, onvoldoende aannemelijk is geworden dat de registraties in het Incidentenregister en met name in het EVR niet aan de proportionaliteitseis voldoen en/of dat in het licht van het belang om intern maar ook om andere financiële instellingen voor dergelijke frauduleuze praktijken te waarschuwen niet aan het subsidiariteitsvereiste is voldaan.
3.7.
ING heeft de hiervoor bedoelde maatregelen jegens [appellante] genomen na raadpleging van inloggegevens en nadat [appellante] in de ochtend van 25/6/20 contact had opgenomen met een medewerker van ING met een relaas dat in het licht van de inmiddels bekende gegevens niet kon kloppen. [appellante] is daarmee toen ook geconfronteerd. Gelet hierop kan ook het betoog van [appellante] dat in onvoldoende mate hoor en wederhoor is toegepast haar niet baten.
3.8.
Het voorgaande brengt reeds mee dat de vorderingen van [appellante] niet toewijsbaar zijn. De grieven van [appellante] leiden niet tot een andere uitkomst en treffen derhalve geen doel. Bij een verdere behandeling daarvan bestaat onvoldoende belang.
3.9.
Het vonnis van de voorziengingenrechter zal worden bekrachtigd. [appellante] zal als de in het ongelijk gestelde partij worden verwezen in de kosten van het geding in hoger beroep.
4.Beslissing
Het hof:
bekrachtigt het vonnis waarvan beroep;
veroordeelt [appellante] in de kosten van het geding hoger beroep tot op heden aan de zijde van ING begroot op € 760,- aan verschotten en op € 1.114,- voor salaris en op € 163,- voor nasalaris, te vermeerderen met € 85,- voor nasalaris en de kosten van het betekeningsexploot indien niet binnen veertien dagen aan de kostenveroordeling wordt voldaan en betekening van dit arrest plaatsvindt;
verklaart deze kostenveroordeling uitvoerbaar bij voorraad.
Dit arrest is gewezen door mrs. J.W.M. Tromp, E.E. van Tuyll van Serooskerken-Röell en A.C. van Schaick en is door de rolraadsheer in het openbaar uitgesproken op 6 juli 2021.