Bunq betaalde in 2024 ruim tien miljoen euro terug aan klanten die slachtoffer werden van phishing. Dat meldde Tweakers vorige week. Er zijn vele klachten over het beveiligingsbeleid van de bank, vandaar dat zij haar beleid aanpaste. In de comments kwam een intrigerende vraag voorbij: je kunt de geavanceerde (2FA) beveiligingsmaatregelen uitzetten, maar schept dat aansprakelijkheid?
Bunq paste het beleid aan nadat de NOS en NRC in mei van 2024 concludeerden dat klanten van de bank disproportioneel vaak slachtoffer van phishing werden. Een punt van kritiek is dat bunq minder zou doen om fraude te bestrijden dan andere banken, bijvoorbeeld door 2FA niet te verplichten en minder vaak in te grijpen bij signalen van verdachte transacties.
In de comments bij Tweakers wordt dan gesteld “Ze hebben recent wat aanpassingen gedaan maar gelukkig ook een knop toegevoegd om alle extra beveiligingsdingen meteen weer uit te zetten – en daar zelf het risico voor te dragen.” Dat lijkt te gaan om zaken als de transactielimiet waarbij een extra authenticatie (securitycode of biometrie) nodig is.
Maar word je aansprakelijk als je die limiet sterk verhoogt en daardoor zeg 5000 euro kwijtraakt, terwijl toepassen van die authenticatie dat had kunnen voorkomen?
De juridische basis hiervoor is art. 7:529 BW:
De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.Het idee is dan dat je door te kiezen voor “ik weet wat ik doe” je van ‘opzet’ mag spreken. Alleen gaat ‘opzet’ enkel over wat er in artikel 524 staat:
De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken, a.gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en b.stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.Dus als je de voorwaarden opzettelijk schendt, zoals door je pincode op je pas te schrijven, dan ben jij aansprakelijk voor een onbevoegde pinopname. Maar je transactielimiet is geen voorwaarde.
Het is dan natuurlijk nog steeds mogelijk dat je een andere voorwaarde schond zoals inlogcodes delen. Als dat opzettelijk of met grove nalatigheid gebeurde, kun je nog steeds aansprakelijk zijn voor het verlies.
Gebruik van wat bunq Strong Customer Authentication (SCA) noemt, is wél een voorwaarde. Maar juist die is niet uit te zetten, dat ik kan vinden. Als dat wel zou kunnen, dan zou dat een enorm gat zijn.
Arnoud
Lees ik hieruit dat je meteen met je bank contact moet opnemen als je je mobiel bijv. in de trein hebt laten liggen omdat je anders volledig aansprakelijk bent? Dit zou dan met of zonder 2FA gelden lijkt me.
Benieuwd hoe dat dan moet want bijna de enige manier om contact op te nemen is via de app tegenwoordig.Bunq zegt via e-mail maar dat is bij veel aanbieders ook 2FA dus kom je niet meer in.
Het lijkt mij voor de hand liggen dat gebruik maken van opties die expliciet door de bank worden aangeboden in het configuratiemenu niet onder “opzet” of “grove nalatigheid” geschaard kunnen worden. Anders gezegd, als de bank iets “grof nalatig” vindt, zou ze er geen vinkvakje voor moeten bieden om precies dat te doen.