Een adviseur van het Hof van Justitie van de Europese Unie heeft verklaard dat banken klanten die geld verliezen door phishingfraude, moeten terugbetalen, zelfs als de klant mogelijk heeft bijgedragen aan het incident.
De uitspraak werd uitgebracht door Athanasios Rantos, advocaat-generaal bij het Hof van Justitie van de Europese Unie, het hoogste gerechtshof van de EU dat verantwoordelijk is voor de interpretatie van het Europese Unierecht. De mening betreft hoe banken ongeautoriseerde transacties moeten afhandelen die worden uitgevoerd nadat klanten zijn misleid door phishingaanvallen. Het betreft de interpretatie van de regels zoals vastgelegd in de EU-richtlijn betalingsdiensten, die elektronische betalingen in de hele Europese Unie reguleert.
Volgens het oordeel moeten banken klanten onmiddellijk na een ongeoorloofde betaling vergoeden, tenzij er redelijke gronden zijn om te vermoeden dat de klant fraude heeft gepleegd. In dergelijke gevallen moet de bank de relevante nationale autoriteit schriftelijk op de hoogte stellen.
Het advies volgt op een verzoek om verduidelijking van de districtsrechtbank in Koszalin, Polen. De rechtbank vroeg het EU-hof om de richtlijn te interpreteren in een geschil waarbij PKO Bank Polski, een staatsgecontroleerde Poolse bank, en een van haar klanten betrokken waren.
De zaak betreft een phishingincident waarbij een klant een artikel verkocht via een online platform. De klant ontving een bericht van iemand die zich voordeed als koper en een link stuurde die de website van de bank imiteerde. Na het klikken op de link voerde de klant bankgegevens in op de frauduleuze pagina.
De informatie stelde de aanvaller in staat toegang te krijgen tot de bankrekening van de klant en een ongeautoriseerde overboeking te starten. De klant ontdekte de transactie en meldde deze de volgende dag bij de bank.
PKO Bank Polski weigerde de fondsen terug te betalen. De bank stelde dat de klant grove nalatigheid had getoond door inloggegevens op de frauduleuze website te verstrekken. De klant bracht de zaak vervolgens voor bij de Poolse rechtbank.
In zijn oordeel verklaarde Rantos dat volgens de EU-betalingsregels de bank eerst het bedrag van de ongeautoriseerde transactie moet terugbetalen. Als de bank van mening is dat de klant opzettelijk beveiligingsverplichtingen heeft geschonden of grove nalatigheid heeft gehandeld, kan zij later proberen het geld terug te vorderen.
Volgens de uitspraak zou de last voor het nastreven van terugbetaling bij de bank liggen. Als de klant weigert het geld terug te geven, kan de bank juridische stappen ondernemen om het bedrag terug te vorderen.
Het advies stelt dat authenticatie van een transactie met correcte inloggegevens niet automatisch bewijst dat de betaling door de klant is geautoriseerd. Banken moeten aantonen dat de klant frauduleus of ernstig nalatig heeft gehandeld als zij van plan zijn de vergoeding te weigeren.
Een advocaat-generaal oordeel is geen definitieve uitspraak. Het is een juridische aanbeveling die wordt gegeven om de rechters van het Hof van Justitie van de Europese Unie te ondersteunen bij het voorbereiden van een beslissing. De rechtbank zal haar vonnis op een later tijdstip uitspreken.