Een lezer vroeg me:
Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?
CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.
De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.
Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.
Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?
Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.
Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.
Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.
Arnoud