Rob
Beenders

Minister van Consumentenbescherming, Rob Beenders, voert de druk op banken verder op. “Banken moeten duidelijk aan hun klanten laten weten als ze vinden dat phishing hun eigen schuld is”, zegt minister Beenders. De criteria die banken nu gebruiken bij ‘roekeloos gedrag’ van klanten zijn niet transparant en verschillen van bank tot bank. Zo komt de bank in de meeste gevallen niet tussen bij phishing. Minister Beenders heeft daarom een brief gestuurd naar alle banken. Daarin staat dat er een checklist moet komen op basis waarvan banken beslissen of hun klanten roekeloos waren bij phishing of niet. 

Vorige week vroeg minister van Consumentenbescherming, Rob Beenders, al aan de sectorfederatie van de banken, Febelfin, om tegen de zomer een concreet plan te bezorgen met alle technische zaken die banken zullen invoeren om phishing tegen te gaan. Er volgt één algemeen telefoonnummer om phishing te melden en ook de IBAN-naamcontrole is al ingevoerd. Daarnaast zal er een afkoelingsperiode worden ingevoerd bij limietverhogingen en zullen klanten een melding krijgen als hun limiet wordt opgetrokken. Die aanpassingen zijn al afgesproken met de banken.  

Daarnaast is de wetgeving duidelijk: banken zijn verplicht om slachtoffers van phishing onmiddellijk terug te betalen wanneer plots geld van de rekening verdwijnt, in geval betalingstransacties die niet zijn toegestaan. Erna is het aan de bank om te bewijzen dat een slachtoffer eventueel grof nalatig is geweest. Enkel als de bank dit heeft kunnen aantonen, mag de bank het geld van de klant terug recupereren. In alle andere omstandigheden moet de bank het geld gewoon terugstorten. De verplichting tot onmiddellijke terugbetaling geldt niet als er sprake is van fraude door de consument, dan moet de bank dit melden bij de FOD Economie. Maar tot op vandaag is daar nog geen enkele melding gemaakt. 
 
“Na gesprekken met verschillende gedupeerden stel ik vast dat banken vandaag te vaak de wetgeving in hun voordeel draaien waardoor gedupeerden van phishing hun geld niet terugkrijgen. Er is een opvallend verschil tussen hoe mensen beschermd worden bij gewone diefstal en bij online oplichting. Bij cybercriminaliteit, dat vaak grootschalig en slim wordt uitgevoerd, moet het slachtoffer meestal zelf voor de schade opdraaien. Dat moet anders,” zegt minister Beenders. 

Volgens cijfers van de ECB wordt bij frauduleuze overschrijvingen de schade in België maar liefst 92% gedragen door de consument, en niet door de bank. Dit ligt nog aanzienlijk hoger dan het Europese gemiddelde van 85%. Ook de data van GASA (Global Anti-Scam Alliance) bevestigen dit falende vangnet: hoewel 72% van de slachtoffers de fraude bij hun bank meldde, slaagde slechts 34% erin om hun geld (of deel) ervan te recupereren. In het grootste deel van de gevallen blijft de consument dus met lege handen achter.  

Deze situatie is volledig scheef wanneer we ze vergelijken met andere vormen van betalingsfraude. Bij klassieke kaartfraude (53 miljoen euro in 2024 in België) zijn de verliezen veel evenwichtiger verdeeld: de Belgische consument draagt hier 54% van het verlies. Bij fraude met domiciliëringen dragen de Belgische banken zelf 100% van het verlies. 

Phishing is in eigenlijk niets anders dan de diefstal van een ‘digitale kaart' of ‘digitale sleutel’ van de consument. Toch wordt het slachtoffer van phishing door de huidige interpretatie van de wetgeving en bankvoorwaarden veel slechter beschermd dan het slachtoffer van een fysieke kaartdiefstal. 

Criteria grove nalatigheid niet gekend 

Banken verschuilen zich onder meer achter een zeer brede toepassing van de term “grove nalatigheid”. Ze maken ook misbruik van het onderscheid tussen het technische begrip ‘toegestane transacties’ en ‘niet toegestane transacties’. Dat je bankgegevens in handen van een fraudeur zijn beland, betekent natuurlijk niet dat je wilt dat je geld naar een andere rekening verdwijnt. Niemand wil dat. Er kan in geval van phishing gewoonweg nooit sprake zijn van een ‘toegestane transactie’. 

Wat bijzonder verontrustend is, is dat de invulling van dat begrip sterk verschilt van bank tot bank. Slachtoffers krijgen uiteenlopende en soms zelfs juridisch twijfelachtige redenen voorgeschoteld waarom een terugbetaling wordt geweigerd. Zo blijkt uit de gesprekken dat in bepaalde dossiers banken eisen dat er binnen de 24 uur klacht moet worden ingediend bij de politie, terwijl zo’n voorwaarde geen wettelijke basis heeft. Het is zeer moeilijk om de checklist te krijgen van redenen wanneer de bank grove nalatigheid inroept. Het is zelfs onduidelijk of elke bank dat op dezelfde manier toepast.  

Dat roept ernstige vragen op over de manier waarop banken omgaan met hun wettelijke verplichtingen. Het lijkt er sterk op dat sommige instellingen systematisch op zoek gaan naar redenen om vooral geen terugbetaling te moeten uitvoeren. “Dat is onaanvaardbaar. Ik wil exact weten op welke manier banken de term grove nalatigheid inroepen. Ik verwacht een duidelijke lijst van redenen gebaseerd op wettelijke toepassing per grootbank”, vult minister Beenders aan. 

Daarom neemt de minister volgende maatregelen: 

• Alle banken hebben de formele vraag gekregen om volledige transparantie te geven over de criteria die zij gebruiken om ‘grove nalatigheid’ vast te stellen. Ze moeten hun interne checklists en beoordelingskaders aan zijn kabinet bezorgen.
• Alle banken moeten laten weten op welke wettelijke basis zij zich beroepen om de wettelijk voorziene terugbetalingsprocedure niet toe te passen.
• De minister zal samen met de bevoegde instanties toezien op de strikte naleving van de wetgeving en, indien nodig, handhavend optreden.
• Daarnaast werkt de minister aan een interpretatieve wetgeving die elke vorm van onduidelijkheid wegneemt. 
   
• Wanneer je als klant je geld bij een bank of andere financiële instelling onderbrengt vertrouw je erop dat dat zij dit op een zorgvuldige manier beheren en beschermen. Het kan niet dat gedupeerden (juridisch) moeten aantonen dat een bank nalatig is geweest om je geld terug te krijgen na een phishing aanval. Banken moeten de juiste beveiligingsmaatregelen nemen.  

“Het kan niet dat burgers, die slachtoffer zijn van steeds professionelere fraudepraktijken, ook nog eens moeten vechten om hun geld terug te krijgen, terwijl de bankensector vorig jaar 8 miljard winst heeft geboekt. Wie slachtoffer is van phishing verdient bescherming, rechtszekerheid en een correcte behandeling. Daar zal ik mij keihard voor blijven inzetten. Ik verwacht een antwoord van de banken binnen de 4 weken en zet de strijd tegen phishing fors verder”, besluit minister Beenders.