Nieuwe Europese regels in de maak: wie is aansprakelijk bij online betaalfraude?

Bij betaalfraude denken we al lang niet meer alleen aan gestolen bankpassen en pincodes. Vroeger ging het vaak om dit soort gevallen: een fraudeur maakt geld over met een buitgemaakte pas of inlogcodes, zonder toestemming van de rekeninghouder. Dat valt onder ongeautoriseerde betalingen. Tegenwoordig verloopt betaalfraude vaak anders. Criminelen gebruiken psychologische trucs om mensen zélf geld te laten overmaken, bijvoorbeeld via een WhatsApp-bericht van een ‘bekend’ contact. Deze vorm van oplichting heet social engineering.

Omdat je in zo’n situatie zélf op akkoord klikt, geldt de betaling juridisch als geautoriseerd. En juist daar zit het knelpunt. In Europa bepaalt de Payment Services Directive 2 dat de bank aansprakelijk is voor ongeautoriseerd betalingen, tenzij er sprake is van fraude, opzet of grove nalatigheid bij de betaaldienstgebruiker. Maar als je bewust een betaling goedkeurt, zelfs als dat onder valse voorwendselen gebeurt, ligt de verantwoordelijkheid meestal bij jou, omdat de betaling dan niet ‘ongeautoriseerd’ was. Dit betekent dat authorised push payment fraud (APP-fraude) buiten de bescherming valt van de huidige regelgeving. Nederlandse banken hanteren voor deze gevallen een coulanceregeling, die echter geen wettelijke status heeft.

Nieuwe wetgeving en een bijzondere samenwerking

De Europese Commissie stelde onlangs voor om betaaldienstverleners aansprakelijk te maken bij APP-fraude, maar alleen als de oplichter zich voordoet als de bank of de betaaldienstverlener van het slachtoffer. Dat voorstel kreeg brede steun van het Europees Parlement en de Raad, die zelfs een stap verder wilden gaan: ook in andere gevallen van misleiding, zoals fraude via een ‘bekende’ op WhatsApp, zou compensatie mogelijk moeten zijn. Die uitbreiding heeft geleid tot een debat over de grenzen van aansprakelijkheid.

Voor hoogleraren Emanuel van Praag en Kasper Jansen was dit aanleiding om de kwestie verder te onderzoeken. Vanuit hun expertise doken ze in het onderwerp en zochten contact met collega’s uit andere EU-lidstaten en het Verenigd Koninkrijk. De reacties waren enthousiast en in een gezamenlijke online werksessie in januari 2025 werd de basis gelegd voor een discussion paper. Het resultaat: het artikel Authorised Push Payment Fraud: Suggestions for the Draft Payment Services Regulation. Hierin bundelen de auteurs overwegingen en aanbevelingen die de Europese wetgever kan meenemen bij het opstellen van de nieuwe regels. Jansen en van Praag vertellen over de samenwerking: “Met alle moderne middelen was het was eigenlijk heel eenvoudig om deze internationale samenwerking van de grond te krijgen. Hoewel de tekst van het Europese recht over hetzelfde is, blijken de verschillen in interpretatie en toepassing tussen de landen niettemin aanzienlijk. Ook de praktische problemen die hierbij rijzen verschillen (elk land heeft zo zijn eigen ‘issues’), maar de achterliggende vragen en discussiepunten zijn vergelijkbaar. Dat verbreedt de blik op dit rechtsgebied. Het bleek, ondanks de onderlinge verschillen, dan ook goed mogelijk om consensus te bereiken over de hoofdlijnen. Dat ging eigenlijk veel gemakkelijker dan wij hadden verwacht."

Wat moet er anders? Zeven aanbevelingen voor nieuwe Europese regels

Wat moet er dan precies gebeuren? In hun rapport doen Van Praag, Jansen en hun Europese collega’s zeven concrete aanbevelingen om het Europese beleid rond APP-fraude aan te scherpen. Uit hun analyse blijkt dat EU-lidstaten verschillend omgaan met de vraag of een betaling nog ‘geautoriseerd’ is als die onder invloed van misleiding tot stand kwam. Ook is onduidelijk of betaaldienstverleners in zulke gevallen aansprakelijk kunnen zijn op basis van nationale regels, in aanvulling op het Europese recht.

De onderzoekers pleiten daarom voor duidelijke, geharmoniseerde regels in de nieuwe Payment Services Regulation. Wat hen betreft moet aansprakelijkheid bij APP-fraude niet alleen gelden als een oplichter zich voordoet als een bank, maar ook als het vertrouwen in het betalingssysteem op een andere manier wordt misbruikt. Denk aan een oplichter die de politie of de financiële toezichthouder zelf nadoet om de klant in de waan te brengen dat zijn geld in gevaar is.  Daarbij roepen de onderzoekers op tot een heldere definitie van ‘grove nalatigheid’ (de uitzondering waarop banken zich kunnen beroepen als de consument zelf onvoldoende oplettend is geweest) en meer ruimte voor betaaldienstverleners om verdachte betalingen tijdelijk tegen te houden, ter bescherming van consumenten tegen APP-fraude. 

Een belangrijke kanttekening: de onderzoekers menen dat de aansprakelijkheid van banken voor APP-fraude op Europees niveau beperkt moet blijven tot gevallen waarin misbruik is gemaakt van het vertrouwen van consumenten in het betalingssysteem. Uitbreiding tot andere gevallen van APP-fraude, waarbij geen vermeende autoriteiten betrokken zijn, zou volgens de onderzoekers aan de lidstaten moeten worden overgelaten. Wanneer een betaaldienstgebruiker bijvoorbeeld door een vermeende buitenlandse geliefde ertoe wordt verleid geld over te maken, dan is dit een vervelende zaak voor het slachtoffer, maar staat het vertrouwen in het financiële systeem niet op het spel. Aansprakelijkheid van betaaldienstverleners ligt in dit soort gevallen dan ook in beginsel niet voor de hand. 

De Nederlandse praktijk: een hoge drempel voor de zorgplicht

Ook in Nederland hebben slachtoffers van APP-fraude geprobeerd om betaaldienstverleners aansprakelijk te stellen, op basis van de genoemde coulanceregeling maar ook op grond van hun algemene zorgplicht. Tot nu toe meestal met weinig succes. In tegenstelling tot bijvoorbeeld België, is er in Nederland juridisch gezien geen blokkade voor dit soort claims, maar de lat ligt hier hoog. Een recent voorbeeld: een vrouw verloor bijna € 39.000 na een telefoontje van een oplichter die zich voordeed als medewerker van De Nederlandsche Bank en haar waarschuwde voor frauduleuze activiteiten op haar bankrekeningen. Ze gaf, onder invloed van de oplichter, zelf toestemming voor de betalingen, in de veronderstelling dat dit nodig was om haar geld veilig te stellen. Rabobank weigerde de schade te vergoeden. De klant stapte naar het Kifid, maar de Geschillencommissie wees de klacht af omdat de betalingen geautoriseerd waren en er geen sprake was van ‘spoofing’ in de zin van de coulanceregeling. De fraudeurs hadden zich immers niet voorgedaan als de Rabobank, maar als De Nederlandsche Bank, dat de betalingen geautoriseerd waren en dat de bank handelde volgens de regels als betaaldienstverlener. Daarmee werd de klacht afgewezen. Jansen en Van Praag: 

“Deze zaak laat zien waar de huidige bescherming tekortschiet,” zeggen Jansen en Van Praag. “In de beleving van de consument maakt het nauwelijks verschil of je eigen bank dan wel De Nederlandsche Bank je vraagt om je geld veilig te stellen. Sterker nog: een verzoek van De Nederlandsche Bank zal op de meeste consumenten veel meer indruk maken dan een verzoek van de eigen bank. Om het vertrouwen in het betaalsysteem te behouden, is een betere balans in de regels nodig. Uit de discussie met onze collega-onderzoekers bleek ook dat deze problematiek in andere Europese landen ook speelt en dat ook daar de noodzaak van een ruimere bescherming wordt gevoeld, en tegelijk ook de behoefte aan een zekere afbakening daarvan. Ons voorstel komt aan die beide behoeften tegemoet.”