Betaling van vervalste factuur

Hacker vervalst betaalinstructies op factuur: wie draagt de schade?


Een hacker verschaft zich toegang tot het mailsysteem van een leverancier. De uitgaande facturen worden vervalst en aangepast met daarop het rekeningnummer van de hacker. De afnemer voldoet het bedrag aan dit rekeningnummer. Heeft de afnemer nu bevrijdend betaald, of kan de verkoper alsnog betaling van de factuur eisen?

Hacker past rekeningnummer aan

Cybercriminaliteit zoals ransomware, phishing en identiteitsfraude is geen ver van ons bedshow. Eén op de vier MKB-bedrijven heeft ermee te maken. Dit kan een behoorlijke impact op je bedrijf hebben. We lezen vaak over versleutelde bestanden en de manier waarop dit kan worden aangepakt. Phishing en identiteitsfraude beginnen ook steeds vaker voor te komen en zo kan het gebeuren dat een hacker toegang krijgt tot mailaccounts van bedrijven. Op die manier kan een hacker namens dat bedrijf mailen en berichten onderscheppen. Het wordt hierdoor kinderspel om vervalste betaalinstructies naar afnemers versturen om zo betalingen naar de rekening van de hacker te halen.

Is er bevrijdend betaald?

Een interessante juridisch vraag die hierdoor ontstaat is wie het financiële risico draagt wanneer de koper de vervalste factuur heeft betaalt. Ligt het risico bij de koper of bij de verkoper? Met andere woorden: Heeft de koper nu bevrijdend betaald, of kan de verkoper alsnog betaling van de factuur eisen? De Hoge Raad heeft zich in een recente uitspraak uitgelaten over een dergelijke zaak.

Leverancier eist alsnog betaling

Het gaat in deze zaak om een leverancier en een afnemer die al jarenlang zaken doen met elkaar. De afnemer heeft een levering besteld de leverancier waarna de leverancier per mail een factuur aan de koper toestuurt. Hierna ontvangt de afnemer nog een mailbericht van de leverancier waarin is aangegeven dat er een fout is gemaakt en dat er een nieuwe, correcte, factuur zal worden toegestuurd. Deze mail is echter van de hacker die de mail vanuit het zelfde mailadres heeft verstuurd. De hacker verstuurt vervolgens een derde mail, weer vanaf hetzelfde mailadres, met daarin de factuur. Het rekeningnummer op deze factuur is aangepast naar het rekeningnummer van de hacker.

De afnemer voldoet vervolgens deze factuur en betaald aan het aangepaste rekeningnummer. De leverancier eist in een rechtszaak vervolgens de betaling omdat zij die niet heeft ontvangen. De afnemer is echter van mening dat er bevrijdend is betaald. Wie krijgt er gelijk? Wat is jouw mening als lezer?

Aansluiting bij arrest over vervalste handtekening

De Hoge Raad kijkt in deze zaak terug naar een zaak uit 1992, namelijk het arrest Kamerman/Aro Lease. In deze zaak stond de kwestie van de vervalste handtekening centraal. De Hoge Raad oordeelde toen dat degene wiens handtekening is vervalst, in beginsel een beroep kan doen op deze vervalsing, met het resultaat dat hij niet wordt gebonden jegens zijn wederpartij. Dit dus in beginsel; in bijzondere gevallen kan dit anders zijn en de Hoge Raad heeft hiervoor een criterium ontwikkeld. 

De Hoge Raad past dit nu ook toe op de situatie van identiteitsfraude zoals in deze zaak. Het beginsel (van het arrest Kamerman/Aro Lease) moet worden losgelaten wanneer aan de (in deze zaak) gehackte partij zelf, geheel of ten dele kan worden toegerekend dat de wederpartij de vervalste verklaring voor echt heeft gehouden en redelijkerwijs mocht houden.

Mocht de afnemer de mail voor echt aannemen?

Eerder heeft het Hof al geoordeeld dat er omstandigheden zijn waarmee zij de toerekening aan de gehackte partij kan baseren. Zo werd het bekende mailadres gebruikt, werd er ook in het verleden met wisselende rekeningnummers gewerkt en kwam het meer voor dat documenten tussentijds werden aangepast.

In overweging 3.1.3 vult de Hoge Raad aan dat bij de beoordeling van deze omstandigheden kan worden gelet op de maatregelen die een partij heeft genomen om een dergelijke situatie te voorkomen.

Bij de (…) beoordeling kan onder meer een rol spelen in hoeverre partijen adequate voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in staat is zich voor een van hen uit te geven. In verband daarmee mag in voorkomend geval van partijen worden verwacht dat zij uiteenzetten welke inspanningen zij zich hebben getroost om te achterhalen op welke wijze de derde zich valselijk als een van hen heeft kunnen voordoen en wat deze inspanningen hebben opgeleverd.

De afnemer heeft bevrijdend betaald

De Hoge Raad verwerpt het beroep van de leverancier en bevestigd de eerdere uitspraak van het Hof. De bijzondere omstandigheden in deze zaak zijn van dien aard dat aan de leverancier valt toe te rekenen dat de afnemer de e-mail met factuur voor echt heeft gehouden en redelijkerwijze mocht houden. De afnemer in deze zaak heeft met het voldoen van de factuur aan de hacker, bevrijdend betaald.

Vragen over het anticiperen op risico’s door cybercriminaliteit?

Heb je nog vragen over het anticiperen op risico’s door cybercriminaliteit, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.