De digitalisering van het betalingsverkeer heeft het leven eenvoudiger gemaakt, maar ook de deur opengezet voor steeds meer vormen van fraude. Waar men vroeger enkel rekening moest houden met het verlies of diefstal van een bankkaart, worden gebruikers vandaag geconfronteerd met tal van nieuwe risico’s. Zo zijn er phishingmails die perfect lijken op communicatie van de bank, valse sms-berichten, gemanipuleerde QR-codes of telefoongesprekken met “bankmedewerkers” die in werkelijkheid fraudeurs zijn.
De gevolgen zijn vaak ernstig; geld verdwijnt van rekeningen zonder dat de betaler zich ervan bewust is. Hierdoor rijst de vraag welke rechten gebruikers vandaag hebben bij betaalfraude. Wanneer is er sprake van een toegestane betaling wanneer niet? En hoe kunt u uw verlies recupereren?
De Europese en nationale regelgeving, waaronder de huidige Payment Services Directive en de toekomstige Payment Services Regulation, tracht hier duidelijkheid in te brengen. Toch blijft er in de praktijk veel discussie rond bestaan. Hieronder volgt een schets van de belangrijkste principes rond toegestane en niet-toegestane betalingstransacties, de aansprakelijkheid van banken en de bescherming van gebruikers.
Susanna Avagyan
Legal Consultant
Werkingsjaar 2025-2026
1. Niet-toegestane betalingstransacties, verlies en diefstal
Toestemming
Een betalingstransactie wordt als niet-toegestaan beschouwd wanneer er geen geldige toestemming werd verleend. In de regel wordt toestemming vooraf verleend maar in uitzonderlijke gevallen kan toestemming ook achteraf worden bevestigd, zoals wanneer een ouder achteraf akkoord gaat met een aankoop verricht met zijn betaalkaart door zijn kind.
Toestemming houdt in dat de betaling wordt uitgevoerd volgens de overeengekomen vorm en procedure tussen de betaler en de betalingsdienstaanbieder, in principe via een bankapplicatie en met gebruik van een pincode. Een transactie is enkel geldig wanneer ze op die afgesproken wijze wordt geïnitieerd: een overschrijvingsopdracht die per e-mail wordt verzonden aan de bank is bijvoorbeeld niet geldig.
Een klassiek voorbeeld hiervan is “phishing”: de betaler ontvangt een e-mail met een link naar een valse website die onder controle staat van de fraudeur, met als doel betaal- of identificatiegegevens te ontfutselen. Intussen zijn er ook andere vormen van digitale oplichting ontstaan, zoals frauduleuze sms-berichten, gemanipuleerde QR-codes of telefoongesprekken waarin men zich voordoet als bankmedewerkers. Dit zijn allemaal vormen van “toegestane” betalingstransacties, gezien de betaler zelf de overeengekomen vorm en procedure volgt om voor de transactie.
Wanneer een gebruiker ontkent dat hij of zij een betaling heeft toegestaan, rust de bewijslast van authenticatie bij de betalingsdienstaanbieder. Authenticatie is de procedure die de betalingsdienstaanbieder in staat stelt de identiteit van een betalingsdienstgebruiker, dan wel de validiteit van het gebruik van een welbepaald betaalinstrument, na te gaan. De bank dient aan te tonen dat de transactie is uitgevoerd volgens de overeengekomen vorm en procedure en dat er geen sprake was van een technische storing of intern falen. Op die manier wordt er een onderscheid gemaakt tussen toegestane en niet-toegestane betalingstransacties.
Op dit ogenblik bestaat er binnen de Europese Unie nog geen eenduidigheid over de precieze betekenis van het begrip ‘toestemming’. Betalingsdienstaanbieders stellen doorgaans dat het naleven van de overeengekomen procedure volstaat om van geldige toestemming te spreken; dit is de objectieve invulling van het begrip. Anderen, waaronder consumentenorganisaties, benadrukken dat dit criterium te eng is en dat ook de daadwerkelijke wil van de betaler om een welbepaald bedrag over te maken op een welbepaalde rekening in aanmerking moet worden genomen; dit is de subjectieve invulling. Artikel 49 van het voorstel van de Payment Services Regulation beoogt meer duidelijkheid te scheppen over het begrip. De precieze draagwijdte van deze bepaling blijft echter nog onzeker, aangezien dit enkel een terminologische verandering betreft. Inhoudelijk is er voorlopig geen wijziging vastgesteld. Omdat het een verordening betreft en geen richtlijn, zal de nieuwe regeling na inwerkingtreding rechtstreeks toepasselijk zijn in alle lidstaten en daardoor minder ruimte laten voor interpretatieverschillen.
Kennisgeving en grove nalatigheid
Bij betwiste transacties geldt dat de gebruiker de bank onmiddellijk op de hoogte moet brengen, en uiterlijk binnen dertien maanden na uitvoering ervan. Het Europese Hof van Justitie heeft bevestigd dat deze termijn een absolute vervaltermijn vormt: er is geen terugbetaling meer mogelijk voor betalingstransacties die langer dan dertien maanden geleden zijn uitgevoerd.
De wet maakt een onderscheid tussen twee periodes. Tot het moment waarop de gebruiker de bank in kennis stelt, is de aansprakelijkheid van de gebruiker in beginsel beperkt tot 50 euro. Dit geldt niet wanneer de gebruiker fraude pleegt of zich schuldig maakt aan grove nalatigheid, in welk geval de gebruiker de volledige schade draagt. Vanaf de kennisgeving daarentegen rust de aansprakelijkheid op de bank, die gehouden is alle verdere niet-toegestane transacties terug te betalen, tenzij zij over redelijke gronden beschikt om fraude door de gebruiker te vermoeden.
Het begrip “grove nalatigheid” is niet strikt gedefinieerd in de Payment Services Directive, maar verwijst naar een gedraging die dermate onvoorzichtig is dat een normaal zorgvuldig persoon die niet zou stellen. Ook het voorstel van de Payment Services Regulation definieert dit niet.
De gebruiker is niet gehouden de eigen bijdrage van 50 euro te dragen in een aantal welomschreven gevallen. Dit geldt vooreerst wanneer het verlies het gevolg is van een fout van de bank of van haar medewerkers, zodat de schade niet aan de gebruiker kan worden toegerekend. Daarnaast vervalt de eigen bijdrage wanneer het onrechtmatig gebruik van het betaalinstrument redelijkerwijze niet kon worden vastgesteld vóór de uitvoering van de betaling. Ten slotte is de gebruiker evenmin aansprakelijk wanneer de bank heeft nagelaten sterke cliëntenauthenticatie toe te passen, aangezien de bescherming van de betaling in dat geval tekortschiet aan de zijde van de betalingsdienstaanbieder.
Sterke cliëntenauthenticatie
Er is sprake van sterke cliëntenauthenticatie wanneer bij de uitvoering van een betaling minstens twee van de voorziene authenticatie-elementen worden gebruikt. Het eerste element betreft kennis en heeft betrekking op iets wat uitsluitend de gebruiker weet, zoals een pincode. Het tweede element is iets wat uitsluitend de gebruiker bezit, bijvoorbeeld een bankkaart of een bankapplicatie die aan zijn persoonlijke gegevens is gekoppeld. Het derde element betreft een inherente eigenschap, namelijk een kenmerk dat de gebruiker als persoon identificeert, zoals een vingerafdruk of gelaatsherkenning.
Een CVC2-code is een driecijferige veiligheidscode op de achterkant van een creditcard of bankkaart. Ombudsfin, de ombudsdienst voor financiële diensten, heeft verduidelijkt dat deze code slechts als een geldig kenniselement kan worden aangemerkt wanneer zij dynamisch is en dus aan verandering onderhevig is. Indien een kredietkaart daarentegen een vaste, niet-dynamische CVC2-code bevat en deze code herhaaldelijk wordt gebruikt bij dezelfde handelaar, ontstaat het risico dat die handelaar de kaartgegevens kan misbruiken. In een dergelijk geval kan de CVC2-code niet worden aangemerkt als een betrouwbaar kenniselement in het kader van sterke cliëntenauthenticatie.
Verlies en diefstal
Dezelfde regeling is van toepassing in geval van verlies of diefstal van de bankkaart. Net zoals bij niet-toegestane betalingstransacties, rust de bewijslast op de betalingsdienstaanbieder. Deze dient aan te tonen dat de gebruiker vooraf op duidelijke, begrijpelijke en ondubbelzinnige wijze werd geïnformeerd over de te nemen veiligheidsmaatregelen, de wijze van kennisgeving en de toepasselijke aansprakelijkheidsregels. Indien de bank deze informatieverplichting niet naleeft, kan de gebruiker niet aansprakelijk worden gesteld voor de geleden schade.
Ook in dit geval geldt de kennisgevingsvereiste op analoge wijze. De gebruiker is niet aansprakelijk wanneer het verlies of de diefstal redelijkerwijze niet kon worden vastgesteld vóór de uitvoering van de betaling. De rechtspraak aanvaardt dit onder meer wanneer de fraude dermate geraffineerd is dat een zorgvuldig handelend persoon geen waarschuwingssignalen kon herkennen, zoals taal- of spelfouten of afwijkende webadressen. Van grove nalatigheid kan daarentegen sprake zijn wanneer de gebruiker de fraude wel opmerkt, maar nalaat om onmiddellijk contact op te nemen met Card Stop om de bankkaart te laten blokkeren.
2. Toegestane betalingstransacties
Authorised push payment fraud
Niet elke vorm van fraude resulteert in een niet-toegestane betaling. Soms voert de gebruiker zelf de transactie uit, maar onder invloed van misleiding. In dat geval spreekt men wel van toegestane betalingstransacties.
Een bekend voorbeeld is “authorised push payment fraud”. APP fraud is een vorm van fraude waarbij een slachtoffer wordt overtuigd om vrijwillig geld over te maken via een bankoverschrijving naar een rekening die onder controle staat van de fraudeur. Een klassiek voorbeeld is factuurfraude, waarbij het rekeningnummer op een factuur wordt vervalst. Aangezien de gebruiker de betaling zelf uitvoert, treft de bank in principe geen fout: de transactie werd correct uitgevoerd volgens de opgegeven unieke identificator (IBAN).
Om deze risico’s te beperken, is recent de ‘IBAN-name check’ ingevoerd. Dit verplicht de bank om de overeenstemming tussen de naam van de begunstigde en het IBAN-nummer te controleren. De gebruiker kan drie mogelijke uitkomsten ontvangen: er is een zuivere match, een bijna-match of helemaal geen overeenkomst met waarschuwing. Deze regeling heeft duidelijke gevolgen gecreëerd voor de gebruiker. Indien de bank deze controle niet aanbiedt, is zij aansprakelijk en moet zij de transactie vergoeden. Indien de bank de controle wel uitvoert en een waarschuwing toont maar de gebruiker toch betaalt, ligt de verantwoordelijkheid bij de gebruiker en kan de betalingsdienstaanbieder niet worden aansprakelijk gesteld.
Whaling
Een andere veelvoorkomende vorm van toegestane betalingstransacties is “whaling”. Dit is het geval waarin een oplichter zich voordoet als een vertrouwde persoon, zoals een familielid, werkgever of bankmedewerker, en het slachtoffer via e-mail of andere communicatieplatformen overtuigt om geld over te maken om een dringende situatie op te lossen en belooft om dit zo snel mogelijk terug te betalen. De wetgever heeft tot op heden nog geen specifieke regeling uitgewerkt om de schade ingevolge deze vorm van fraude te vergoeden. Een voorbeeld is de “romance scam”, waarbij fraudeurs via datingapps het vertrouwen van slachtoffers winnen om hen vervolgens te overtuigen geld over te maken.
Wanneer de identiteit van de fraudeur bekend is, bestaat een bijkomend beschermingsmechanisme. In dat geval moet de betalingsdienstaanbieder de nodige informatie verstrekken aan de gebruiker die hierom vraagt, zodat de gebruiker een rechtsvordering kan instellen tegen de fraudeur. Heeft de fraudeur een rekening bij een andere bank, dan moet de bank van het slachtoffer de relevante gegevens opvragen. Dit is verenigbaar met de bepalingen van de General Data Protection Regulation (GDPR), aangezien een specifieke wettelijke grondslag het delen van dergelijke informatie toestaat. Meer nog, in dit geval bestaat er zelfs een wettelijke verplichting om deze gegevens te verstrekken.
Het voorstel van de Payment Services Regulation introduceert bovendien een nieuwe beschermingsregel bij impersonatiefraude. Wanneer een derde zich voordoet als bankmedewerker en zo een betaling uitlokt van de betalingsdienstgebruiker, is er ook sprake van een toegestane betalingstransactie. De bank moet in dat geval de gebruiker vergoeden, op voorwaarde dat het slachtoffer de fraude onmiddellijk heeft gemeld aan zowel de politie als de bank, en er geen redelijke vermoedens zijn van fraude of grove nalatigheid.
Conclusie
Hoewel deze regeling een belangrijke stap vooruit is, blijft de bescherming voor slachtoffers van “toegestane fraude” in de praktijk beperkt, waardoor het zeer moeilijk blijft voor betalingsdienstgebruikers om het verloren bedrag effectief terug te vorderen. De beste bescherming blijft vandaag nog steeds preventie. Controleer steeds het rekeningnummer en de naam van de begunstigde, wees alert voor ongewone berichten van ‘bankmedewerkers’ en deel nooit uw persoonlijke codes. Juridische bescherming biedt een belangrijk vangnet, maar voorkomen blijft uiteindelijk de beste bescherming.
Bronnen
· Richtlijn (EU) nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, Pb.L. 23 december 2015, http://data.europa.eu/eli/dir/2015/2366/oj.
· Verordening (EU) nr. 2024/886 van het Europees Parlement en de Raad van 13 maart 2024 tot wijziging van Verordeningen (EU) nr. 260/2012 en (EU) 2021/1230 en Richtlijnen 98/26/EG en (EU) 2015/2366 wat betreft instantovermakingen in euro’s, Pb.L. 19 maart 2024, http://data.europa.eu/eli/reg/2024/886/oj.
· Proposal for a Regulation on payment services in the internal market and amending Regulation (EU) No 1093/2010, EUROPEAN PARLIAMENT AND THE COUNCIL, 2023, COM/2023/367 final, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52023PC0367.
· Artikelen I.9, 11°, VII.32, VII.42-43, VII.55/2 en VII.189 WER
· HvJ 11 juli 2024, C-409/22, Eurobank Bulgaria, ECLI:EU:C:2024:600.
· Orb. Antwerpen (afd. Antwerpen) 6 november 2023, Orb. Antwerpen (afd. Antwerpen) 8 januari 2024, Orb. Antwerpen (afd. Antwerpen) 3 juni 2024.
· OMBUDSFIN, prejudiciële vraag, 18 juni 2024, https://www.ombudsfin.be/nl/adviezen/prejudiciele-vraag.
· ALTER C., Droit Bancaire Privé, Larcier, 2011.
· SCHRANS G. en STEENNOT R., Algemeen Deel van het Financieel Recht, Intersentia, 2003.
· STEENNOT R., Artikelsgewijze Commentaar Financieel Recht, Kluwer, 2011.
· STEENNOT R., ‘Betaalfraude: a never ending story?’, Tijdschrift voor Belgisch Handelsrecht 2025, 83.