Skip to main content

CEO Internetfraude: de Bol.com / Brabantia-zaak

  • 03 mei 2021
  • Frits Bienfait

Een korte bespiegeling over de vraag voor wiens risico het komt als een e-mailaccount gehackt wordt, een fraudeur valse berichten van het echte account zendt, waarna de klant betaalt aan de fraudeur in plaats van aan de leverancier, kortom, de welbekende CEO-fraude. Is degene die de internetbeveiliging niet op orde had, niet al om die reden verantwoordelijk voor de gevolgen van die hack?

Het antwoord is kortweg: nee. Niet zonder meer. En dit komt door de hoofdregel inzake betalingen in boek 6 BW. De betaler moet namelijk zorgen dat de betaling bij de schuldenaar aankomt, het is een brengschuld. Komt die betaling om welke reden dan ook niet aan, dan is er niet betaald en kan de schuldeiser in beginsel nakoming vragen.

Een uitzondering staat in artikel 6:34 lid 1 BW, kortweg: als de debiteur aan een onbevoegde ontvanger heeft betaald, dan kan de betaling als betaling gelden als de betaler dacht dat hij aan de schuldeiser betaalde, en dat hij dit op redelijke grond dacht. Kortom, de betaler moet te goeder trouw zijn. Wanneer dat zo is, staat in artikel 3:11 BW. Daarin staat het omgekeerd uitgelegd: uitgelegd wordt wanneer er geen sprake is van goede trouw. De betaler moet op redelijke grond gedacht hebben dat het goed zat. Als hij bijvoorbeeld onderzoek kon doen maar dat nalaat, dan is er geen goede trouw.

Als we nu de casus nemen van de Bol.com/Brabantia-uitspraak die dit weekend de pers bereikte, dan zien we dat de fraude begint bij een gehackt e-mailaccount van een medewerker van de leverancier, de schuldeiser. De hacker stuurt vanuit dat ‘echte account’, dus niet vanuit een vals mailaccount (dat is een variatie op de fraude die ook veel voorkomt), een vals bericht en vraagt om de betaling op een ander rekeningnummer te doen. Vergelijk het met de WhatsApp-fraude waarin een hacker vanuit een gehackt account schrijft dat 'het telefoonnummer is veranderd'. De schuldenaar betaalt en die betaling komt dus niet binnen bij de schuldeiser. De schuldeiser heeft niets ontvangen en vraagt alsnog om betaling.

Wat zijn dan de rechtsregels?

Ik behandel eerst een iets ander geval waarin de schuldenaar mocht menen dat hij op de goede rekening van de schuldeiser betaalde. Dat geval werd beslecht door het gerechtshof Den Bosch in 2018. Het is een geval van postfraude, waarin de fraudeur erin slaagde om briefpapier van de schuldenaar te vervalsen en per post aan de schuldenaar te zenden. Dat deed de fraudeur door geposte facturen uit de postbus te hengelen, de originele facturen na te maken en in de originele enveloppe door te zenden. Hier komt dus geen internet aan te pas. De schuldenaar ontvangt per post een vervalste factuur in een echte enveloppe van de schuldeiser. De schuldenaar is, in dit geval, niet bekend met het goede rekeningnummer van de schuldeiser en mag, aldus het gerechtshof, op redelijke grond menen op het goede rekeningnummer te hebben betaald.

In gevallen van internetfraude laat de jurisprudentie (nog?) geen gevallen zien waar de betaler zich met succes op goede trouw kon beroepen. Dat heeft alles te maken met het feit dat de e-mails van de fraudeurs toch op een of andere manier zichtbaar gemanipuleerd zijn (denk aan typefouten, een wisselende of toegevoegde letter in het internetadres). Het gaat daarbij om een belangrijk bericht: het ‘wijzigen van rekeningnummer’. Dit laatste aspect alleen al, zo kan je wel stellen, zou voor een oplettende schuldenaar tegenwoordig toch wel aanleiding moeten zijn voor een extra controle.

In de genoemde Bol.com / Brabantia uitspraak neemt de medewerker van Bol.com dat gemanipuleerde bericht voor waar aan. Bol.com betaalt aan de fraudeur. Brabantia vraagt om betaling, nakoming van de overeenkomst. Dat is juridisch een heel sterke aanspraak, al is het maar omdat een schuldenaar zich bij een vordering tot nakoming niet kan beroepen op diverse verweren die een schuldenaar wel heeft bij een vordering tot schadevergoeding, zoals een verweer dat de schuldeiser eigen schuld heeft. Bol.com probeert dat wel, en beroept zich op het feit dat Brabantia gehackt is. 

Dat klinkt logisch. Brabantia had haar internetbeveiliging toch niet op orde? Toch is dit niet direct relevant. De relevante vraag is namelijk of Bol.com te goeder trouw was: dat zij op redelijke grond mocht menen dat zij aan een bevoegde partij betaalde en dat zij te goeder trouw was. Op dit punt gaat het mis voor Bol.com. Te goeder trouw zijn vereist namelijk een redelijke oplettendheid. Dat Bol.com-medewerkers de bewuste e-mail voor echt aannamen is daarbij nauwelijks te begrijpen als je, met de kennis van nu, de e-mail aandachtig leest. De rechtbank wijst de vordering tegen Bol.com toe.

Er is ook een andere manier om zaak te benaderen, en dat deed Bol.com op het laatste moment nog: die gooide nog als vangnet de ‘onrechtmatige daad’ op tafel. Het is in haar ogen onzorgvuldig, hoogst onzorgvuldig, van Brabantia om zich te laten hacken en dus is Brabantia schadeplichtig tegenover Bol.com. De schade is, zo betoogt Bol.com, even hoog als de vergeefse betaling aan de fraudeur. Daarbij zou het aan Brabantia zijn, als zij inderdaad onrechtmatig gehandeld zou hebben, een verweer te voeren inzake eigen schuld van Bol.com. Bol.com vordert dan immers schadevergoeding, geen nakoming en bij schadevergoeding is het eigen schuld verweer wel een mogelijk verweer.

De rechter wijst dit wel erg laat gedane beroep op onrechtmatigheid van de hand. De rechtbank komt niet toe aan de wel interessante vraag onder welke omstandigheden een gehackte partij onrechtmatig zou handelen tegenover haar klanten. Die omstandigheden zijn niet volledig hypothetisch. Stel je voor dat een schuldeiser ondanks concrete waarschuwingen van een IT-specialist nalaat om maatregelen te treffen en het risico dat het mis gaat negeert. Stel je voor dat een schuldeiser niets doet, ook al weet hij dat hij gehackt is. In die gevallen zou zijn handelen of nalaten wellicht onrechtmatig kunnen zijn. Zoals gezegd was dit argument bij de rechtbank nogal laat aangevoerd en onvoldoende uit de verf gekomen, maar misschien legt Bol.com deze vraag nog voor aan de rechter in hoger beroep.

Een uitspraak van de rechtbank Arnhem uit 2017 laat zien dat je de rechtsvraag ook kan benaderen vanuit een ander beginsel, namelijk vanuit het beginsel van 'onbevoegde vertegenwoordiging door de schuldeiser'. De redenering is dat de schuldeiser door de fraudeur onbevoegdelijk werd vertegenwoordigd, maar dat de schuldenaar om bepaalde redenen mocht vertrouwen dat de fraudeur wel bevoegd was. Het risico dat de fraudeur niet bevoegd was, zou dan voor rekening/risico van de schuldeiser komen (artikelen 6:35 en 6:36 BW). Via een andere benadering komt deze rechter tot eenzelfde uitkomst als bij de toets onder artikel 6:34 bij de goede trouw. De rechtbank in die zaak geeft, dus in een iets ander kader, een duidelijk antwoord op de vraag of het uitmaakt wiens IT-systeem gehackt was. Ook als een hack heeft plaats gevonden in de IT-omgeving van de schuldeiser is dat onvoldoende reden om de schuldeiser het risico van de overboeking te laten dragen, aldus de rechtbank, in een overweging die ik citeer:
” Er moet sprake zijn van bijzondere omstandigheden van dien aard dat dit gestelde gerechtvaardigde vertrouwen aan (de schuldeiser) valt toe te rekenen. Daarbij draait het niet zo zeer om de vraag of het aan (de schuldenaar) zelf te wijten is dat zij aan een fraudeur heeft betaald, of zelfs maar om de vraag aan wie in dit verband het meest te verwijten zou zijn, maar het draait om de vraag of (de schuldeiser) zo onzorgvuldig heeft gehandeld dat de daaruit voortvloeiende fraude voor haar risico moet blijven. Uit het arrest van de Hoge Raad van 7 februari 1992 (NJ 1992, 809) volgt dat niet snel aan dit criterium is voldaan.”
De rechtbank vervolgt:
“Daarbij is niet van doorslaggevend belang of er gehackt is en of die hack bij (de schuldeiser) heeft plaatsgevonden. Ook als het zo zou zijn dat de systemen van (de schuldeiser) zijn gehackt en dat de fraude dus in de IT-omgeving van (de schuldeiser) zou hebben plaatsgevonden (hetgeen nog niet vaststaat), betekent dat nog niet dat de gevolgen van de fraude om die reden voor risico van (de schuldeiser) dienen te komen. Uit het genoemde arrest volgt dat de enkele omstandigheid dat iemand een ander de mogelijkheid tot frauderen heeft gegeven, niet voldoende is voor toerekening van de gevolgen van die fraude. Die toerekening is pas gerechtvaardigd indien die persoon in dat verband zo onzorgvuldig is geweest dat dit voor zijn risico moet blijven.”

De vraag uit de aanhef van deze blog is dus met 'nee' te beantwoorden. De betaler die een gewijzigde betaalinstructie accepteert, zonder goed op te letten, zonder gericht navraag te doen bij de schuldeiser, zal zich niet gemakkelijk op goede trouw kunnen beroepen. Het enkele feit dat het IT-systeem van de schuldeiser gehackt was, is daarbij in beginsel niet relevant. Dit enkele feit lijkt ook onvoldoende om aan te nemen dat de schuldeiser onrechtmatig handelde tegenover de schuldeiser.

De les is, en dat is een open deur die niet vaak genoeg ingetrapt kan worden, dat zowel het IT-systeem als de instructies aan de werknemers op orde moeten zijn en blijven.

Meer nieuws