ECLI:NL:RBAMS:2023:8673

Rechtbank Amsterdam

Datum uitspraak
20 december 2023
Publicatiedatum
23 januari 2024
Zaaknummer
733341 HA ZA 23-437
Instantie
Rechtbank Amsterdam
Type
Uitspraak
Rechtsgebied
Civiel recht; Verbintenissenrecht
Procedures
  • Eerste aanleg - enkelvoudig
Vindplaatsen
  • Rechtspraak.nl
AI samenvatting door LexboostAutomatisch gegenereerd

Grove nalatigheid en schadebeperkingsplicht bij niet-toegestane betalingstransacties via online bankomgeving

In deze zaak vordert eiser, een ondernemer, dat de rechtbank Bunq B.V. veroordeelt tot betaling van een bedrag van € 68.326,00, als gevolg van twee niet-toegestane betalingstransacties die vanaf zijn rekening zijn uitgevoerd door een oplichter. Eiser heeft sinds oktober 2020 zowel zakelijk als privé bankrelaties met Bunq en bankiert via de Bunq-app op zijn Samsung-telefoon. Op 20 juni 2022 ontving eiser een sms met een MagicLink, waarmee een nieuw apparaat aan zijn online bankomgeving kon worden gekoppeld. Twee minuten later werd deze link geopend op een iPhone, waarna er aanzienlijke bedragen van zijn rekening zijn overgemaakt.

De rechtbank oordeelt dat eiser niet heeft voldaan aan zijn verzwaarde stelplicht, aangezien hij niet voldoende heeft onderbouwd hoe de oplichter toegang heeft gekregen tot zijn inloggegevens. Eiser heeft weliswaar een rapport overgelegd waaruit blijkt dat zijn apparaten beveiligd waren, maar hij heeft geen verklaring gegeven voor de omstandigheid dat zijn gegevens bij derden bekend zijn geraakt. De rechtbank concludeert dat eiser grove nalatigheid heeft vertoond door een waarschuwing van Bunq te negeren over een nieuw gekoppeld apparaat en niet adequaat te reageren op de signalen van mogelijke fraude.

De vorderingen van eiser worden afgewezen, en hij wordt veroordeeld in de proceskosten van Bunq, die zijn vastgesteld op € 5.203,00. De rechtbank benadrukt dat eiser niet aan zijn schadebeperkingsplicht heeft voldaan, wat bijgedragen heeft aan de afwijzing van zijn vorderingen.

Uitspraak

RECHTBANK Amsterdam

Civiel recht
Zaaknummer: C/13/733341 / HA ZA 23-437
Vonnis van 20 december 2023
in de zaak van
[eiser],
te [woonplaats] ,
eisende partij,
hierna te noemen: [eiser] ,
advocaat: mr. M.A. Hupkes te Amsterdam,
tegen
BUNQ B.V.,
te Amsterdam,
gedaagde partij,
hierna te noemen: Bunq,
advocaat: mr. L. Stortelder te Amsterdam.

1.De procedure

1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 1 mei 2023 met producties,
- de conclusie van antwoord met producties,
- het tussenvonnis van 16 augustus 2023 waarbij een mondelinge behandeling is bepaald,
- het proces-verbaal van de mondelinge behandeling van 7 november 2023, met de daarin genoemde stukken.
1.2.
Ten slotte is vonnis bepaald.

2.De feiten

2.1.
[eiser] is ondernemer. Hij is eigenaar van een las- en montagebedrijf genaamd [bedrijf] . [eiser] bankiert zowel zakelijk als privé bij Bunq sinds oktober 2020.
2.2.
[eiser] bankiert onder andere via de Bunq applicatie op zijn Samsung telefoon. Zijn telefoonnummer en e-mailadres zijn op 19 en 20 oktober 2020 gekoppeld aan zijn Bunq rekeningen en online bankomgeving.
2.3.
Op 20 juni 2022 om 15:44 uur (UTC-tijd) is naar het telefoonnummer van [eiser] (naar de Samsung telefoon) een sms verstuurd met een zogenoemde MagicLink. Met de MagicLink kan een nieuw apparaat gekoppeld worden aan de rekeningen en online bankomgeving van [eiser] bij Bunq. Twee minuten later, om 15:46 uur (UTC-tijd), is de MagicLink geopend vanaf een ander apparaat, namelijk een iPhone. Om 15:46 uur (UTC-tijd) heeft Bunq een e-mail gestuurd naar [e-mailadres 1] , het e-mailadres van [eiser] . Hierin staat onder andere het volgende:
“(…) We zien dat je bent ingelogd op iOS iPhone en willen even checken of jij het echt bent.
Als je niet onlangs op een nieuw toestel bent ingelogd en denkt dat dit iemand anders is geweest, verander dan zo snel mogelijk je inloggegevens in de app onderBeveiliging & Instellingen. Als je geen toegang meer tot je bunq account hebt, neem dan contact op met ons support team op support@bunq.com. (…)”
2.4.
[eiser] heeft op 20 juni 2022 de e-mail twee keer geopend.
2.5.
Op 21 juni 2022 om 16:54 uur (UTC-tijd) is er vanaf de iPhone ingelogd in de online bankomgeving van [eiser] en heeft iemand een nieuw telefoonnummer aan de rekening van [eiser] gekoppeld. Het telefoonnummer heeft een Britse landcode (+44).
2.6.
Op 21 juni 2022 om 17:02 uur (UTC-tijd) is er vanaf de iPhone een bedrag van
€ 45.000,00 overgemaakt van de rekening van [eiser] naar Finlux Tech Pty Ltd.
2.7.
Op 21 juni 2022 om 17:27 uur (UTC-tijd) is er vanaf de iPhone een nieuw e-mailadres aan de rekening van [eiser] gekoppeld. Het nieuwe e-mailadres is [e-mailadres 2] .
2.8.
Op 21 juni 2022 om 17:40 uur (UTC-tijd) is er vanaf de iPhone een bedrag van
€ 23.326,00 overgemaakt van de rekening van [eiser] naar Finlux Tech Pty Ltc.
2.9.
Op 23 juni 2022 merkte [eiser] dat hij niet meer kon inloggen in zijn digitale bankomgeving van Bunq. Op 24 juni 2022 heeft [eiser] daarover contact opgenomen met Bunq. Hij meldde dat er twee frauduleuze betalingen waren gedaan vanaf zijn rekening. Bunq heeft daarop zijn rekening geblokkeerd en een onderzoek ingesteld.
2.10.
Op de dienstverlening van Bunq zijn algemene voorwaarden van toepassing waarin onder andere het volgende is opgenomen:
“(…) Om je op weg te helpen hebben wij veiligheidsvoorschriften opgesteld. Onderstaand de belangrijkste voorschriften:
-
houd je inlogcodes en andere beveiligingsfeatures strikt geheim, deel ze niet met anderen en gebruik ze nooit ergens anders dan in de officiële bunq apps of in onze officiële web interface;
(…)
-
breng jezelf op de hoogte van veelvoorkomende (online) oplichtingspraktijken, zoals phishing;
-
meld onregelmatigheden altijd direct en volg onze instructies. (…)”

3.Het geschil

3.1.
[eiser] vordert - samengevat – dat de rechtbank bij uitvoerbaar bij voorraad te verklaren vonnis Bunq veroordeelt tot betaling van
€ 68.326,00, te vermeerderen met wettelijke rente vanaf 27 juni 2022,
€ 3.155,08 aan expertisekosten, te vermeerderen met wettelijke rente vanaf 21 juli 2022,
€ 1.458,26 aan buitengerechtelijke incassokosten, te vermeerderen met wettelijke rente vanaf 19 augustus 2022,
de proces- en nakosten, te vermeerderen met wettelijke rente vanaf acht dagen na de datum van dit vonnis voor de proces- en nakosten en vanaf acht dagen na de betekening van dit vonnis voor de extra nakosten in geval van betekening.
3.2.
Bunq voert verweer. Bunq concludeert tot afwijzing van de vorderingen van [eiser] , met uitvoerbaar bij voorraad te verklaren veroordeling van [eiser] in de kosten van deze procedure.
3.3.
Op de stellingen van partijen wordt hierna, voor zover nodig, nader ingegaan.

4.De beoordeling

4.1.
Er zijn volgens [eiser] twee niet-toegestane betalingstransacties verricht vanaf zijn rekening, waar hij nooit opdracht voor heeft gegeven (artikel 7:522 lid 2 BW). Volgens [eiser] is Bunq op grond van artikel 7:528 lid 1 BW gehouden om het bedrag ter hoogte van de twee overboekingen terug te betalen. Bunq heeft betoogd dat zij niet gehouden is tot terugbetaling omdat [eiser] niet aan zijn verzwaarde stelplicht heeft voldaan en omdat er bovendien sprake is geweest van grove nalatigheid zijdens [eiser] .
4.2.
Er vanuit gaande dat er sprake is van twee niet-toegestane betalingstransacties (of daar sprake van is laat de rechtbank in het midden), draagt [eiser] toch alle verliezen daarvan. De vorderingen van [eiser] worden afgewezen. Daartoe overweegt de rechtbank het volgende.
Verzwaarde stelplicht
4.3.
Het is aan Bunq om te stellen en te bewijzen dat er sprake is geweest van grove nalatigheid zijdens [eiser] in de zin van artikel 7:529 lid 1 BW, maar [eiser] kan in dit verband niet volstaan met een enkele, niet verder onderbouwde betwisting dat hij ook niet weet hoe een ander de beschikking heeft verkregen over zijn inlog codes en beveiligingsfeatures. Hij dient aanknopingspunten te verstrekken over de wijze waarop hij de digitale bankomgeving en zijn apparaten heeft gebruikt en hoe de fraudeur toegang heeft weten te krijgen tot zijn rekeningen. In zoverre kan de rechtbank zich, ook binnen het stelsel van stelplicht en bewijslast van het Wetboek van Burgerlijke Rechtsvordering, vinden in het oordeel van de geschillencommissie van het KIFID nrs. 2019-308, -733 en -853, waar voor de benadeelde een verzwaarde stelplicht werd aangenomen.
4.4.
Bunq heeft in haar conclusie van antwoord en ter zitting toegelicht welke stappen er genomen moeten worden om een nieuw apparaat aan de online bankomgeving van [eiser] te koppelen, het e-mailadres en telefoonnummer te wijzigen, en de twee betalingen uit te voeren. De fraudeur heeft de app van Bunq gedownload op de iPhone. Vervolgens heeft de fraudeur een koppelverzoek gedaan waardoor Bunq de MagicLink via sms naar de Samsung van [eiser] heeft gestuurd. Op de een of andere manier is de MagicLink doorgestuurd naar de iPhone, althans heeft de fraudeur gebruik kunnen maken van de MagicLink op de iPhone. Daarmee heeft hij de iPhone gekoppeld. Maar om in te loggen in de app van Bunq moet de fraudeur ook de persoonlijke pincode van [eiser] invullen. De pincode is persoonlijk aangemaakt door [eiser] en de fraudeur heeft deze kennelijk in handen gekregen. Om geld over te kunnen maken moet die pincode worden ingevoerd in de app, zowel voor het inloggen als de betaalopdracht zelf. Hetzelfde geldt voor het wijzigen van het e-mailadres, ook daarvoor moet de pincode worden ingevoerd. Bunq concludeert dat het niet anders kan dan dat [eiser] onzorgvuldig met zijn pincode is omgegaan en dat het tevens door onzorgvuldigheid heeft kunnen gebeuren dat de Magic Link bij de fraudeur terecht is gekomen.
4.5.
Met Bunq is de rechtbank van oordeel dat [eiser] daar tegenover onvoldoende heeft aangevoerd ten aanzien van zijn verzwaarde stelplicht. Hij had zo concreet mogelijk moeten stellen en onderbouwen wanneer en op welke wijze hij gebruik maakte van zijn digitale omgeving en hoe hij de beveiliging daarvan heeft gerespecteerd. Ten aanzien hiervan heeft [eiser] een rapport van PSG Recherche overgelegd waarin staat dat de beveiliging van zijn apparaten op orde was. Verder kan van [eiser] worden verwacht dat hij zo goed mogelijk een verklaring zal moeten geven voor de omstandigheid dat zijn gegevens kennelijk bij derden bekend zijn geraakt. Daarbij kan [eiser] niet volstaan met de stelling dat hij het niet weet. [eiser] zegt niets over de wijze waarop hij in de relevante periode gebruik heeft gemaakt van zijn rekeningen en pincode, en ook heeft hij geen verklaring gegeven voor de omstandigheid dat de pincode en MagicLink kennelijk bij derden terecht zijn gekomen. [eiser] zegt eigenlijk alleen maar dat hij het niet weet, en dat een gebrekkige beveiliging zijdens Bunq de enige verklaring kan zijn. De rechtbank heeft daarvoor echter geen enkel concreet aanknopingspunt gevonden in het dossier. De rechtbank is van oordeel dat [eiser] in ieder geval niet aan zijn verzwaarde stelplicht heeft voldaan.
Grove nalatigheid
4.6.
Dat betekent dat er niets tegenover de toelichting van Bunq ten aanzien van de werking van haar online bankomgeving is komen te staan. In de voorwaarden van Bunq staat dat [eiser] geen inlogcodes en andere beveiligingsfeatures mag delen met anderen en dat hij deze strikt geheim moet houden. Ook staat er dat hij onregelmatigheden direct moet melden. Vast staat dat hij een e-mail heeft ontvangen van Bunq dat er een nieuw apparaat gekoppeld was (zie 2.3), dat hij die e-mail ook twee keer heeft geopend vóór de niet-toegestane betalingstransacties, maar daar niets mee heeft gedaan. Het feit dat de persoonlijke pincode én de MagicLink bij de fraudeur terecht zijn gekomen en de enige verklaring van [eiser] ten aanzien daarvan is dat hij niet weet hoe dit kan, plus het feit dat hij de waarschuwings e-mail heeft genegeerd, maakt dat er sprake is van grove nalatigheid in de zin van artikel 7:529 en 524 lid 1 sub a BW.
Schadebeperkingsplicht
4.7.
Het negeren van de waarschuwings e-mail van Bunq maakt bovendien dat [eiser] niet heeft voldaan aan zijn schadebeperkingsplicht. Bunq blokkeert standaard na het koppelen van een nieuwe telefoon betalingen van meer dan € 500,00 voor de duur van 24 uur. Als [eiser] naar aanleiding van de waarschuwings e-mail actie had ondernomen, was er geen geld overgemaakt door de fraudeur. Dat maakt dat [eiser] niet heeft voldaan aan zijn schadebeperkingsplicht.
Conclusie
4.8.
Gelet op het voorgaande worden de vorderingen van [eiser] afgewezen.
4.9.
[eiser] is de partij die ongelijk krijgt en hij zal daarom in de proceskosten worden veroordeeld. Tot aan dit vonnis worden de proceskosten aan de zijde van Bunq als volgt vastgesteld:
- griffierecht
2.837,00
- salaris advocaat
2.366,00
(2,00 punten × € 1.183,00)
Totaal
5.203,00
4.10.
De gevorderde veroordeling in de nakosten is toewijsbaar voor zover deze kosten op dit moment kunnen worden begroot. De nakosten zullen dan ook worden toegewezen op de wijze zoals in de beslissing vermeld.

5.De beslissing

De rechtbank
5.1.
wijst de vorderingen van [eiser] af,
5.2.
veroordeelt [eiser] in de proceskosten, aan de zijde van Bunq tot dit vonnis vastgesteld op € 5.203,00, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dit bedrag met ingang van de vijftiende dag na de datum van dit vonnis tot de dag van volledige betaling,
5.3.
veroordeelt [eiser] in de na dit vonnis ontstane kosten, begroot op:
- € 173,00 aan salaris advocaat,
- te vermeerderen met € 90,00 aan salaris advocaat en met de explootkosten als [eiser] niet binnen veertien dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van de uitspraak heeft plaatsgevonden,
- te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over de nakosten met ingang van de vijftiende dag na betekening van deze uitspraak tot de dag van volledige betaling,
5.4.
verklaart dit vonnis uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. N.C.H. Blankevoort, rechter, bijgestaan door mr. L. Schwalb, griffier, en in het openbaar uitgesproken op 20 december 2023.