Als een bank haar klanten onvoldoende beschermt tegen het stelen van inloggegevens en die klant leidt daardoor schade, dan is een deel van de schade voor rekening van de bank. Dit blijkt uit twee bindende uitspraken van de Geschillencommissie Financiële Dienstverlening van het Kifid.
In beide zaken werd een klant van de Rabobank telefonisch benaderd door iemand die zich voordeed als een medewerker van die bank. Tijdens het gesprek slaagde de beller erin om de inlogcodes voor internetbankieren te ontfutselen. Vervolgens werden er in beide gevallen forse bedragen overgeboekt naar de rekening van de crimineel. Het ging om respectievelijk bijna dertigduizend en ruim veertigduizend euro. De bank weigerde de schade te vergoeden, omdat in beide gevallen de bankklanten hun codes aan een onbekende hadden verteld.
Milder
De Geschillencommissie had een milder oordeel. Aan de ene kant waren de klanten grof nalatig geweest en hadden de bank en de Nederlandse Vereniging van Banken regelmatig gewaarschuwd voor deze vorm van criminaliteit. Maar, aan de andere kant, de bank had niet alleen moeten waarschuwen, maar ook maatregelen moeten nemen tegen phishing. Denk aan een beperkte daglimiet, tijdbarrières of andere technische hindernissen. Aangezien de bank dit heeft nagelaten, is de aansprakelijkheid van de consument beperkt en moet de bank het grootste deel van de schade vergoeden. De aansprakelijkheid van de rekeninghouders werd door de Geschillencommissie beperkt tot vijfduizend en zevenenhalf duizend euro.
Bronnen: www.kifid.nl/nieuws/onvoldoende-bescherming, www.kifid.nl/uitspraak1 en www.kifid.nl/uitspraak2