Phishing en andere vormen van online bankfraude blijven sterk toenemen. Phishing is een verzamelnaam voor digitale oplichting waarbij criminelen via e-mail, sms (smishing), telefoon (vishing) of sociale media (quishing) proberen inloggevens, bankcodes of persoonlijke informatie te stelen. Veelvoorkomende vormen zijn misleidende e-mails (spoofing), gerichte aanvallen op personen (spear phishing) of bedrijven (whaling/ CEO-fraude).
In de praktijk leidt dit regelmatig tot discussies tussen banken en klanten over de vraag wie het financiële verlies moet dragen. Banken weigeren daarbij vaak terugbetaling met het argument dat er in hoofde van de klant sprake van "grove nalatigheid" zou zijn geweest.
Een recente conclusie van advocaat-generaal Rantos bij het Hof van Justitie van de Europese Unie (zaak C-70/25) bevestigt een consumentenbeschermende lezing van de Europese regels.
https://infocuria.curia.europa.eu/tabs/document/C/2025/C-0070-25-000000…
De kern van de zaak
De zaak betrof een consument die het slachtoffer werd van phishing via een online verkoopplatform. Door een misleidende link gaf zij onbewust haar bankgegevens prijs, waarna een niet-toegestane betalingstransactie werd uitgevoerd.
Hoewel zij de fraude onmiddellijk meldde aan haar bank en aangifte deed bij de politie, weigerde de bank het verloren bedrag terug te betalen. Volgens de bank had de klant door grove nalatigheid haar verplichtingen geschonden.
De nationale rechter legde daarop een prejudiciële vraag voor aan het Hof van Justitie, welke kan worden samengevat als volgt: mag een bank de onmiddellijke terugbetaling weigeren wanneer zij meent dat de klant grof nalatig was?
Wat zegt het Europese recht (PSD2)?
De Europese richtlijn 2015/2366 (PSD2) bevat twee cruciale bepalingen:
Artikel 73 PSD2:
- Bij een niet-toegestane betalingstransactie moet de bank het bedrag onmiddellijk terugbetalen, uiterlijk de volgende werkdag.
Artikel 74 PSD2:
- In afwijking van artikel 73 kan de betaler worden verplicht om tot een bedrag van 50 EUR het verlies in verband met een niet-toegestane betalingstransactie te dragen dat uit het gebruik van een verloren of gestolen betaalinstrument of uit het onrechtmatig gebruik van een betaalinstrument voortvloeit.
- Indien de klant frauduleus of grof nalatig heeft gehandeld, kan hij uiteindelijk aansprakelijk worden gesteld voor het verlies.
Standpunt van de advocaat-generaal: eerst terugbetalen, daarna discussiëren
De advocaat-generaal is duidelijk en stelt dat een bank de onmiddellijke terugbetaling niet mag weigeren louter omdat zij meent dat de klant grof nalatig was.
Volgens de conclusie voorziet PSD2 in twee onderscheiden fases:
Onmiddellijke terugbetaling
De bank moet eerst het bedrag van de niet-toegestane betaling terugstorten.
De enige uitzondering is wanneer:
- er redelijke vermoedens van fraude door de klant zelf bestaan, én
- deze vermoedens formeel worden gemeld aan de bevoegde autoriteiten.
Grove nalatigheid valt dus niet onder deze uitzondering.
Eventuele regresvordering (achteraf)
Pas na de terugbetaling kan de bank:
- onderzoeken of de klant grof nalatig handelde,
- en in voorkomend geval het bedrag terugvorderen van de klant, desnoods via een gerechtelijke procedure.
De bewijslast daarvoor rust volledig op de bank.
De advocaat-generaal benadrukt dat een andere lezing zou leiden tot een onaanvaardbare praktijk waarbij:
- banken eenzijdig zouden kunnen beslissen dat een klant grof nalatig was;
- de terugbetaling standaard wordt geweigerd;
- consumenten worden gedwongen om zelf actief te procederen om hun geld terug te krijgen.
Dit is volgens hem in strijd met de doelstelling van PSD2, die net een hoog niveau van consumentenbescherming beoogt en het vertrouwen in elektronische betalingen wil versterken.
Conclusie
Hoewel het hier (voorlopig nog) gaat om een conclusie van de advocaat-generaal en nog niet om een definitief arrest, mag de waarde ervan niet worden onderschat.
Naar dit duidelijk standpunt kan worden verwezen in discussies met uw bank, in gerechtelijke procedures, dan wel in gesprekken met Ombudsfin.
Voor wie slachtoffer wordt van phishing of bankfraude, bevestigt deze conclusie immers dat terugbetaling in de eerste plaats de regel is, niet de uitzondering.
In deze interpretatie mogen banken zich niet zomaar verschuilen achter vermeende nalatigheid en dienen zij eerst tot betaling over te gaan, waarna de bewijslast om grove nalatigheid aan te tonen en de proceslast om terugbetaling te bekomen, bij de bank hoort te liggen, niet bij de klant.
Het arrest van het Hof van Justitie wordt met belangstelling afgewacht, maar deze conclusie zet alvast een duidelijke richting uit.
