Uitspraak
RECHTBANK Amsterdam
Civiel recht
Zaaknummer: C/13/747441 / HA ZA 24-232
Vonnis van 2 oktober 2024
in de zaak van
[eiser] B.V.,
te [vestigingsplaats] ,
eisende partij,
hierna te noemen: [eiser] ,
advocaat: mr. S. de Recht,
tegen
BUNQ B.V.,
te Amsterdam,
gedaagde partij,
hierna te noemen: Bunq,
advocaat: mr. L. Stortelder.
1.Waar de zaak over gaat
1.1.
[eiser] is het slachtoffer geworden van bankhelpdeskfraude oftewel
spoofing. Dat is een vorm van oplichting waarbij de crimineel zich voordoet als een medewerker van de bank en op die manier, vaak in combinatie met nog andere kunstgrepen, het slachtoffer overhaalt om betalingen te doen of toegang tot zijn bankaccount te geven. In dit geval is in nog geen anderhalf uur tijd een bedrag van circa € 75.000,- van de Bunq-rekening van [eiser] doorgesluisd naar andere rekeningen. De schade van [eiser] is lager, doordat Bunq circa € 20.000,- heeft weten terug te halen, en zij daarnaast het bedrag heeft vergoed dat die ochtend nog van de rekening van [eiser] is gehaald na het eerste blokkeringsverzoek van [eiser] .
spoofing. Dat is een vorm van oplichting waarbij de crimineel zich voordoet als een medewerker van de bank en op die manier, vaak in combinatie met nog andere kunstgrepen, het slachtoffer overhaalt om betalingen te doen of toegang tot zijn bankaccount te geven. In dit geval is in nog geen anderhalf uur tijd een bedrag van circa € 75.000,- van de Bunq-rekening van [eiser] doorgesluisd naar andere rekeningen. De schade van [eiser] is lager, doordat Bunq circa € 20.000,- heeft weten terug te halen, en zij daarnaast het bedrag heeft vergoed dat die ochtend nog van de rekening van [eiser] is gehaald na het eerste blokkeringsverzoek van [eiser] .
1.2.
[eiser] eist in deze zaak van Bunq vergoeding van haar resterende schade van € 42.530,47 plus rente en kosten. Naar het oordeel van de rechtbank is Bunq echter niet voor deze schade aansprakelijk. Dit oordeel zal de rechtbank hieronder toelichten.
2.Wat is er precies gebeurd?
2.1.
[eiser] is de persoonlijke vennootschap van [naam] . Op 15 oktober 2023 werd [naam] om 10:33 uur in de ochtend gebeld door een persoon met een anoniem nummer die zei medewerker van de fraudebestrijdingsdesk van Bunq te zijn. De beller deelde mee dat de rekening van [eiser] was gehackt. [naam] heeft hierop gevraagd of hij de beller kon terugbellen, maar de beller antwoordde dat Bunq geen telefonische contactservice kent. [naam] heeft daarop de naam van de beller gegoogeld en hij vond zo een LinkedIn-profiel van een Bunq-medewerker met die naam. Hierdoor gerustgesteld, heeft [naam] op aanwijzing van de beller AnyDesk geïnstalleerd en de beller via dat programma toegang gegeven tot zijn Bunq-account. De beller zei een nieuwe rekening op naam van [eiser] met de naam ‘beveiliging’ te openen waar het geld veilig gestald kon worden. Op verzoek van de beller heeft [naam] vervolgens:
de toegangscode tot zijn Bunq-account gewijzigd;
de oude en de nieuwe toegangscode in de zoekbalk van zijn Bunq-account ingevoerd, zodat volgens de beller georganiseerd werd dat zijn account beter beschermd zou kunnen worden;
zijn Bunq-app verwijderd, die Bunq volgens de beller automatisch na middernacht weer zou terugplaatsen.
2.2.
Uit de interne systemen van Bung blijkt dat om 10:44 uur en 10:56 uur nieuwe apparaten (een Windows-computer en een iPhone) werden geautoriseerd voor het Bunq-account van [eiser] .
2.3.
Tussen 11:03 uur en 12:15 uur werden vanaf de Bunq-rekening van [eiser] diverse bedragen afgeboekt, in grootte variërend van € 780,- tot € 8.769,97 en tot een totaal van circa € 75.000,-.
2.4.
Tijdens het telefoongesprek, dat bijna anderhalf uur heeft geduurd, heeft [naam] op enig moment argwaan gekregen. Toen [naam] geen telefoonnummer van Bunq kon vinden, is hij in de auto gestapt en heeft hij onderweg naar zijn advocaat, met de beller nog steeds aan de lijn, om 11:43 uur per e-mail een fraudemelding naar Bunq gestuurd. Daarna is [naam] naar de politie gereden en vervolgens naar het hoofdkantoor van Bunq.
2.5.
Uiteindelijk is de rekening van [eiser] om 13.38 uur geblokkeerd. Bunq heeft ongeveer € 20.000,- kunnen terughalen. Verder heeft Bunq – nadat [eiser] deze procedure was begonnen – het bedrag vergoed dat na 11:43 uur is afgeschreven (€ 11.878,-). De totale schade voor [eiser] is € 42.530,47.
3.De procedure
3.1.
Het verloop van de procedure blijkt uit
- de dagvaarding van 22 februari 2024 met producties,
- de conclusie van antwoord met producties,
- het tussenvonnis van 12 juni 2024 waarbij een mondelinge behandeling is bepaald,
- het proces-verbaal van de mondelinge behandeling van 27 augustus 2024 met de daarin genoemde stukken.
- de e-mail van 1 oktober 2024 van mr. Stortelder, met opmerkingen over het proces-verbaal van de mondelinge behandeling.
4.De beoordeling
Twee verschillende grondslagen
4.1.
[eiser] vordert in deze procedure dat wordt vastgesteld dat Bunq aansprakelijk is voor de schade [eiser] heeft geleden doordat zij is opgelicht, en daarnaast dat Bunq wordt veroordeeld tot vergoeding van die schade. Een en ander baseert [eiser] op twee grondslagen, namelijk 1) dat Bunq tekort geschoten is in haar zorgplicht althans onrechtmatig heeft gehandeld, en 2) op de wettelijke schadeloosstellingsregelingen zoals vastgelegd in artikel 7:528 e.v. van het Burgerlijk Wetboek (hierna: BW).
4.2.
Bunq heeft allereerst aangevoerd dat in een geval als dit alleen mag worden getoetst aan de tweede grondslag omdat die artikelen zijn ontleend aan de aansprakelijkheidsregeling voor niet-toegestane betalingstransacties, de Herziene Richtlijn betalingsdiensten PSD2 [1] , en deze regeling een exclusief karakter heeft. Dit verweer gaat niet op. De aansprakelijkheidsregeling gaat over wel of niet toegestane betalingstransacties en wat dat betreft hebben lidstaten geen beleidsvrijheid om andere bepalingen toe te passen. Maar een partij mag zijn vordering nog steeds baseren op een andere grondslag (of grondslagen), die de rechtbank dan ook zal moeten toetsen. Dat is hier aan de hand. De eerste grondslag is het schenden van een algemene zorgplicht door Bunq. Die grondslag verschilt zowel feitelijk als juridisch van de tweede grondslag, waardoor van een overlap geen sprake is. Dat betekent dat de rechtbank beide grondslagen inhoudelijk kan beoordelen.
Geen zorgplichtschending
4.3.
[eiser] baseert haar vorderingen op Bunq in de eerste plaats op schending van de bancaire zorgplicht. Op banken rust een bijzondere zorgplicht vanwege hun maatschappelijke functie en omdat zij bij uitstek beschikken over deskundigheid die anderen missen. Hoever die zorgplicht in een specifieke situatie reikt, is afhankelijk van alle omstandigheden van het geval. In dit geval gaat het om de rol van de bank als betaaldienstverlener, waarbij de bank erop toeziet dat er op de bij haar aangehouden bankrekeningen geen activiteiten plaatsvinden die een financieel gevaar vormen voor rekeninghouders (zoals eiseres) of derden. Als Bunq wetenschap heeft van of serieuze aanwijzingen voor onregelmatigheden, zal zij tot actie moeten overgaan. De bank moet dan onderzoek doen en adequate maatregelen treffen. Dit wordt het subjectief gevaarsbewustzijn genoemd, wat wil zeggen dat het enkel ‘behoren te weten’ niet genoeg is om in te moeten grijpen.
4.4.
Volgens [eiser] was sprake van ongebruikelijke transacties en had Bunq deze moeten opmerken en actie moeten ondernemen. De omvang van de transacties en de aanwezigheid van ongebruikelijke (buitenlandse) tegenrekeningen, maken dat de transacties een aard hebben die geheel afwijkt van het gebruikelijke betalingsverkeer op de rekening. Deze ongebruikelijke patronen en kenmerken van de transacties hadden signalen moeten oproepen die wijzen op potentiële risico’s en verdachte activiteiten, aldus steeds [eiser] .
4.5.
Naar het oordeel van de rechtbank is niet gebleken dat de Bank vóór 11:43 uur (het moment van het blokkeringsverzoek door [naam] ) op de hoogte was van onregelmatigheden op de bankrekening van [eiser] of serieuze aanwijzingen had in die richting. Voor dat moment had de bank nog geen bericht ontvangen dat er frauduleuze transacties plaatsvonden via de bankrekening van [eiser] . Ook had het transactiemonitoringssyteem van Bunq tot dat moment nog geen alarmsignaal (alert) gegenereerd. Aan de transacties zelf die op dat moment vanaf de rekening werden verricht was voor de bank ook niet af te lezen dat er met die transacties iets niet in de haak was. Vanuit het perspectief van de bank gezien werden de transacties op reguliere wijze verricht door de rekeninghouder zelf. Dat in werkelijkheid sprake was van fraude was voor de bank niet kenbaar. Bij die stand van zaken kan niet worden geoordeeld dat Bunq wetenschap had van of serieuze aanwijzingen voor onregelmatigheden. Zonder wetenschap van (dreigend) financieel gevaar kon niet van de Bank worden gevergd om onderzoek te doen of maatregelen te nemen. Dat betekent dat de bank de schade die eiseres tot 11:43 uur heeft geleden, niet op grond van een zorgplichtschending zoals [eiser] die voorstaat, hoeft te vergoeden. De schade die [eiser] daarna heeft geleden, heeft Bunq al vergoed.
De omstandigheid dat het volgens [eiser] voor haar doen ging om ongebruikelijke transacties maakt het voorgaande niet anders. [eiser] betoogt kennelijk dat Bunq van onregelmatige transacties, al dan niet via een scherper afgesteld transactiemonitoringssysteem,
had moeten weten. Dat is, zoals vooropgesteld, niet voldoende om in te moeten grijpen.
had moeten weten. Dat is, zoals vooropgesteld, niet voldoende om in te moeten grijpen.
4.6.
Volgens [eiser] heeft Bunq daarnaast haar zorgplicht geschonden door niet telefonisch bereikbaar te zijn, waardoor zij haar rekening niet snel kon blokkeren. Bunq heeft betoogd dat klanten hun rekening via de app en – sinds 17 mei 2021 – via het SOS-nummer kunnen blokkeren. Volgens Bunq is het SOS-nummer een
automatic support flow, waarmee een klant een melding kan doen bij de bank van een incident en vervolgens binnen 35 seconden zijn bankpas en/of account kan blokkeren. Dat deze functionaliteit een adequate voorziening vormt, heeft [eiser] niet betwist. [eiser] heeft wel betwist dat deze functionaliteit op de bewuste datum van 15 oktober 2023 zichtbaar was op de site van Bunq, maar aan die betwisting gaat de rechtbank voorbij. [eiser] heeft namelijk zelf de contactpagina van Bunq (productie 2) in het geding gebracht waarop een pictogram van een SOS-telefoon zichtbaar is. Daarnaast geldt dat Bunq ook op de mogelijkheid van blokkering via de app heeft gewezen. [eiser] heeft ook niet betwist dat deze mogelijkheid op zichzelf adequaat was, alleen had [naam] de app verwijderd en kon hij daardoor geen gebruik maken van die mogelijkheid. Dat kan de bank niet worden verweten. De slotsom van het voorgaande is dat van een zorgplichtschending op dit punt zoals bepleit door [eiser] , geen sprake is.
automatic support flow, waarmee een klant een melding kan doen bij de bank van een incident en vervolgens binnen 35 seconden zijn bankpas en/of account kan blokkeren. Dat deze functionaliteit een adequate voorziening vormt, heeft [eiser] niet betwist. [eiser] heeft wel betwist dat deze functionaliteit op de bewuste datum van 15 oktober 2023 zichtbaar was op de site van Bunq, maar aan die betwisting gaat de rechtbank voorbij. [eiser] heeft namelijk zelf de contactpagina van Bunq (productie 2) in het geding gebracht waarop een pictogram van een SOS-telefoon zichtbaar is. Daarnaast geldt dat Bunq ook op de mogelijkheid van blokkering via de app heeft gewezen. [eiser] heeft ook niet betwist dat deze mogelijkheid op zichzelf adequaat was, alleen had [naam] de app verwijderd en kon hij daardoor geen gebruik maken van die mogelijkheid. Dat kan de bank niet worden verweten. De slotsom van het voorgaande is dat van een zorgplichtschending op dit punt zoals bepleit door [eiser] , geen sprake is.
Niet-toegestane betalingstransacties
4.7.
Daarmee komt de rechtbank toe aan bespreking van de tweede grondslag: de wettelijke schadeloosstellingsregelingen zoals vastgelegd in artikel 7:528 e.v. BW. Artikel 7:528 lid 1 BW bepaalt dat een betaaldienstverlener in geval van een niet-toegestane betalingstransactie onmiddellijk het bedrag van de transactie aan de betaler moet terugbetalen. Wanneer echter blijkt dat de betaler bijvoorbeeld met grove nalatigheid verplichtingen uit hoofde van artikel 7:524 BW niet is nagekomen, dient de betaler alle verliezen zelf te dragen (artikel 7:529 lid 1 BW).
4.8.
Partijen zijn het erover eens dat de overeengekomen vorm en procedure voor betalingstransacties op zichzelf is gevolgd, maar dat hierbij sprake was van oplichting. [eiser] heeft de transacties niet gewild. Dit maakt dat het hier gaat om niet-toegestane transacties en dat Bunq in beginsel de bedragen moet terugbetalen.
4.9.
Juridisch gezien wordt het handelen van [eiser] echter aangemerkt als grof nalatig doordat zij de verplichtingen uit artikel 7:524 BW niet is nagekomen. Dit artikel bepaalt kort gezegd dat de betaler het betaalinstrument moet gebruiken conform de voorwaarden die daarop van toepassing zijn.
4.10.
In dit geval is namelijk in de voorwaarden van Bunq opgenomen dat een klant zijn inlognaam, wachtwoord en codes geheim moet houden en nooit met anderen moet delen en ze niet buiten de officiële apps of webinterface van Bunq moet gebruiken. Dat is wel wat [eiser] feitelijk heeft gedaan en daarmee is zij deze verplichtingen niet nagekomen. [eiser] heeft aan de oplichter toegang verleend tot haar computer door middel van het programma AnyDesk. Vervolgens heeft zij ingelogd op haar online bankomgeving en haar toegangscodes ingevuld. Zo heeft [eiser] het mogelijk gemaakt dat derden toegang kregen tot haar bankaccount en dat er door deze derden bedragen werden overgeboekt. Het handelen van [eiser] levert daarom in de verhouding tussen haar als klant en Bunq als bank grof nalatig handelen op met betrekking tot het naleven van de veiligheidsinstructies. Daaraan doet niet af dat het handelen van [eiser] vanuit menselijk oogpunt invoelbaar is, omdat zij tot het handelen is bewogen door geraffineerde misleidingen van een oplichter. Voor zover [eiser] wil betogen dat het systeem van Bunq onvoldoende bescherming biedt tegen dit soort menselijke fouten, kan zij daarin niet worden gevolgd. Zolang de klant de veiligheidsvoorschriften van Bunq volgt, is het systeem namelijk veilig.
4.11.
Het vorenstaande leidt tot de slotsom dat de niet-toegestane betaling het gevolg is van grove nalatigheid bij een onveilig gebruik van het betaalinstrument, waardoor het beroep van Bunq op artikel 7:529 lid 1 BW slaagt.
Coulancevergoeding is geen erkenning aansprakelijkheid
4.12.
[eiser] heeft ter onderbouwing van haar vordering ook nog gewezen op het feit dat Bunq de transacties die na 11:43 uur zijn verricht aan [eiser] heeft vergoed. Bunq heeft toegelicht dat dit een coulancevergoeding geweest. Anders dan [eiser] meent, heeft Bunq daarmee geen aansprakelijkheid voor deze of andere overboekingen erkend.
4.13.
De conclusie is dat [eiser] Bunq niet aansprakelijk kan houden voor haar schade en zij deze dus zelf moet dragen.
[eiser] moet de proceskosten van Bunq betalen
4.14.
[eiser] is in het ongelijk gesteld en moet daarom de proceskosten (inclusief nakosten) betalen. De proceskosten van Bunq worden begroot op:
- griffierecht
€
2.889,00
- salaris advocaat
€
2.428,00
(2,00 punten × € 1.214,00)
- nakosten
€
178,00
(plus de verhoging zoals vermeld in de beslissing)
Totaal
€
5.495,00
4.15.
De gevorderde wettelijke rente over de proceskosten wordt toegewezen zoals vermeld in de beslissing.
5.De beslissing
De rechtbank
5.1.
wijst de vorderingen af,
5.2.
veroordeelt [eiser] in de proceskosten van € 5.495,00, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met € 92,00 plus de kosten van betekening als [eiser] niet tijdig aan de veroordelingen voldoet en het vonnis daarna wordt betekend,
5.3.
veroordeelt [eiser] tot betaling van de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten als deze niet binnen veertien dagen na aanschrijving zijn betaald,
5.4.
verklaart 5.2 en 5.3 van dit vonnis uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. M.R. Jöbsis en in het openbaar uitgesproken op 2 oktober 2024.