Factuurfraude bij aankoop auto
Een klant koop een auto bij een autobedrijf. De klant betaalt een klein deel vooruit. Het grote deel van de prijs wordt door de klant betaald op een door het autobedrijf aangewezen Duitse bankrekening. Deze rekening behoort echter toe aan een hacker die via het mailaccount van het garagebedrijf valse betaalinstructies aan de klant had gestuurd. Er is sprake van zogenaamde factuurfraude. Het is mogelijk dat de hacker ook toegang heeft gekregen tot bijvoorbeeld het kopie paspoort van de klant.
Is er door de klant bevrijdend betaald nu het bedrag op de aangewezen, maar valse, bankrekening is overgemaakt? De tweede vraag is of het autobedrijf schadeplichtig is op grond van art. 82 AVG? Op onder meer deze vragen gaat de rechtbank Gelderland in. In dit artikel beperk ik mij tot deze twee vragen.
De klant heeft het bedrag niet bevrijdend betaald na factuurfraude
Het geschil tussen partijen spitst zich toe op de vraag of het resterende gedeelte van de koopprijs (een bedrag van € 26.900,00) door de klant bevrijdend is betaald aan het garagebedrijf. De klant (eiser in deze zaak) stelt dat dit het geval is, omdat hij dat bedrag heeft overgemaakt naar het Duitse bankrekeningnummer en er daarbij vanuit mocht gaan dat hij betaalde aan het garagebedrijf. De betaalinstructie was immers verstuurd vanaf het e-mailadres van het autobedrijf. De valse e-mailberichten zijn het autobedrijf zelf niet opgevallen doordat de hacker deze berichten uit de mailbox van het autobedrijf heeft verwijderd.
De rechtbank komt tot de conclusie dat het bedrag van € 26.900,00 door de klant niet bevrijdend aan het autobedrijf is betaald.
Even een stukje theorie
De rechtbank deelt het standpunt van de klant niet en motiveert dit als volg. Uit de jurisprudentie van de Hoge Raad volgt voor gevallen van een (digitale) valse betaalinstructie als hier aan de orde het volgende. Wanneer iemand door zich valselijk als een ander voor te doen iets voor die ander verklaart – in deze zaak het aanwijzen van een bankrekening voor betaling – kan die ander zich tegen degene tot wie de verklaring is gericht erop beroepen dat de verklaring niet van hem afkomstig is, ook wanneer de geadresseerde heeft aangenomen en redelijkerwijze mocht aannemen dat de verklaring wel van die ander afkomstig was. Dat is de hoofdregel, waarop het autobedrijf zich beroept.
Zoals vaak het geval is, bestaat ook op deze hoofdregel een uitzondering, en kan hierdoor onder omstandigheden anders kan zijn. Deze omstandigheden moeten wel van dien aard zijn dat zij rechtvaardigen dat aan degene voor wie valselijk iets is verklaard, wordt toegerekend dat de geadresseerde de verklaring voor echt heeft gehouden en redelijkerwijze mocht houden. Bij de beoordeling hiervan kan worden meegewogen of er adequate voorzorgsmaatregelen zijn getroffen om, kortgezegd, een hack te voorkomen.
Het abrupt wijzigen van een bankrekening zou argwaan moeten wekken
Het feit dat de e-mail met de valse betaalinstructie is verzonden vanaf het mailadres van het garagebedrijf neemt naar het oordeel van de rechtbank niet weg dat van de klant een normale mate van oplettendheid en voorzichtigheid mocht worden verwacht. Het autobedrijf had al eerder door het toesturen van een duidelijke factuur haar bankrekening aangewezen. Van enige dubbelzinnigheid of onduidelijkheid rond die aanwijzing is geen sprake. Daar komt nog bij dat de klant eerder al een aanbetaling had gedaan op het rekeningnummer zoals op de factuur was vermeld. Het feit dat er zo abrupt een andere bankrekening werd aangewezen had volgens de rechtbank de nodige argwaan moeten wekken, zeker nu het om een buitenlandse bankrekening ging. Dit waren tekenen dat er sprake zou kunnen zijn van factuurfraude.
Was het ICT-systeem voldoende beveiligd?
De klant voert nog aan de het autobedrijf onvoldoende heeft gedaan om haar ICT-systemen te beveiligen tegen het hacken van haar e-mailaccount.
Dit is door het autobedrijf gemotiveerd betwist. De rechtbank is op grond van deze motivatie van oordeel dat uit het enkele feit dat kwaadwillende derden zich toegang hebben weten te verschaffen tot het e-mailaccount niet volgt dat het garagebedrijf in verwijtbare mate is tekortgeschoten in de beveiliging van haar systemen. Immers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat een technisch (zeer) bekwame kwaadwillende zich toegang verschaffen. Daarbij komt dat niet iedere eventuele nalatigheid bij de beveiliging van het ICT-systeem een uitzondering op de hoofdregel inzake de toerekening rechtvaardigt.
Geen causaal verband tussen gestelde inbreuk en schade
De klant stelt vervolgens dat het autobedrijf heeft gehandeld in strijd met de AVG door niet de vereiste maatregelen te treffen om een passend niveau van beveiliging van de door haar verwerkte persoonsgegevens te waarborgen. De klant doelt hier op het gebruik van een gedeeld e-mailaccount door het personeel, een ontoereikend wachtwoordbeleid en het niet toepassen van twee factor authenticatie. Ook verwijt de klant het autobedrijf dat die niet tijdig melding heeft gemaakt van het datalek bij de AP. De klant vordert een bedrag van € 27.900,00.
Naar het oordeel van de rechtbank kan in het midden blijven of het autobedrijf inbreuk heeft gemaakt op de AVG en dus ook in hoeverre de beveiliging van de ICT-omgeving en het e-mailaccount voldeden aan de daaraan op grond van de AVG te stellen beveiligingseisen. De reden daarvoor is dat aan één van de andere vereisten voor het ontstaan van een verplichting tot schadevergoeding op grond van art. 82 AVG, namelijk het bestaan van een voldoende causaal verband tussen de gestelde inbreuk en de schade, in dit geval niet is voldaan en de vordering om die reden moet worden afgewezen.
De klant vordert uiteindelijk ook vergoeding van immateriële schade als gevolg van een inbreuk op de AVG door het autobedrijf . De rechtbank is van oordeel dat de vordering van tot immateriële schadevergoeding moet worden afgewezen, omdat niet is komen vast te staan dat hij in zijn persoon is aangetast, ongeacht of wel of niet sprake is van een inbreuk door het autobedrijf op de AVG.
Factuurfraude beter voorkomen
Zoals ik vaker zeg is voorkomen beter dan genezen. Zorg ervoor dat de kans dat dit jou overkomt zo klein mogelijk is. Controleer altijd vóórdat je een factuur betaalt of het rekeningnummer is gewijzigd en wees alert als de facturatie afwijkt van de gebruikelijke patronen. Als dat het geval is, neem dan contact op met je leverancier.
Vragen over het contractenrecht en AVG?
Heb je nog vragen over dit onderwerp, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.