Een tussenuitspraak van de rechtbank Amsterdam werpt een interessante blik op de reikwijdte van de zorgplicht van banken als klanten zich schuldig maken aan oplichting of fraude, en op de volgens de Wwft verplichte post transaction monitoring. Het roept bij de rechtbank vragen op dat de betalingen en geldopnames, waarmee het Saudische United Gulf Trading Company (UGTC) Ltd werd opgelicht via een bij ING Apeldoorn geopende bankrekening, geen alerts hebben opgeleverd. De partijen kregen na de onlangs gepubliceerde tussenuitspraak uit augustus de gelegenheid zich daar nader over uit te laten. Wanneer de einduitspraak is of wordt gedaan komt uit de tussenuitspraak niet naar voren.
Betaalrekening bij ING Apeldoorn
Op 15 januari 2020 werd bij een filiaal van de bank in Apeldoorn een particuliere betaalrekening geopend. Kort daarna vond via de betaalrekening geen enkele transactie plaats. Tussen 12 februari en 3 april 2020 heeft een aantal kleine transacties plaatsgevonden. Er is tweemaal een bedrag bijgeschreven vanaf een andere Nederlandse bankrekening (een betaling van 10 cent en een betaling van 3 euro), er zijn bedragen van 10 cent en 4 cent overgemaakt naar een andere Nederlandse bankrekening en er is tweemaal contant geld gestort bij een ING kantoor (een keer 10 euro en een keer 50 euro). Ook werden enkele kleine pinbetalingen gedaan bij een Albert Heijn, bij horeca en bij een sigarettenautomaat, allemaal in Apeldoorn.
Oplichting
Op 9 april 2020 werden op de betaalrekening drie betalingen van het Saudische handelsbedrijf UGTC bijgeschreven, van in totaal ruim €86.000,-. De bijgeschreven bedragen zijn van 10 tot en met 17 april 2020 contant opgenomen bij geldautomaten in Apeldoorn. Op 15 april 2020 werd op één dag bij acht verschillende opnames in totaal € 24.900 contant opgenomen. Na de laatste opname op 17 april 2020 was er nagenoeg geen saldo meer over.
UGTC is het slachtoffer geworden van oplichting. Toen zij de betalingen deed verkeerde zij in de veronderstelling dat zij betaalde aan Terex Global GmbH, een zakenrelatie bij wie zij bouwmachines en onderdelen afneemt. Enige tijd later kreeg UGTC van Terex te horen dat zij geen betaling had ontvangen. Nadat UGTC aan Terex de overboekingsbewijzen had toegezonden, liet Terex weten dat zij haar bankrekeningen aanhoudt bij Bank of America en geen rekeningen bij ING heeft. Terex heeft ook laten weten dat haar IT-afdeling er bekend mee was dat onbekenden frauduleuze mails namens Terex hadden verstuurd. Terex liet weten dat zij vermoedde dat sprake was van mailspoofing (waarbij e-mails worden gemanipuleerd zodat zij voor de ontvanger afkomstig lijken te zijn van een bestaand, correct e-mailadres) in combinatie met een hack in de mailsystemen van UGTC.
Op 1 mei 2020 heeft de Saudische bank van UGTC bij ING melding gedaan dat Terex het geld niet had ontvangen. Op 13 mei 2020 is er, kennelijk ook namens de Saudische bank, een zogenaamd cancellation request gedaan. ING heeft diezelfde dag de betaalrekening geblokkeerd. Op 4 juni 2020 heeft UGTC telefonisch contact opgenomen met ING en een fraudemelding gedaan. De bank heeft diezelfde dag een fraudedossier geopend.
Rechtszaak tegen ING
Bij de rechtbank Amsterdam vordert UGTC – samengevat – dat de rechtbank bij vonnis, uitvoerbaar bij voorraad, (i) de bank veroordeelt tot afgifte van bepaalde bescheiden op straffe van een dwangsom, (ii) voor recht verklaart dat de bank onrechtmatig handelde jegens UGTC en (iii) de bank veroordeelt tot schadevergoeding op te maken bij staat, met veroordeling van de bank in de proceskosten.
Onrechtmatig handelen
Met betrekking tot de tweede vordering oordeelt de rechtbank als volgt. ING heeft volgens UGTC onder meer onrechtmatig jegens haar gehandeld omdat de bank de betaalrekening niet geblokkeerd heeft naar aanleiding van de ontvangst op de betaalrekening van de betalingen van UGTC en de grote geldopnames die daarna plaatsvonden. Als eerste verwijt stelden de Saudi’s ook dat de bank de identiteit van de Apeldoornse rekeninghouder onvoldoende heeft vastgesteld, maar daar is volgens de rechtbank geen sprake van.
Achtergrond: zorgplicht banken jegens derden
De vraag of het tweede verwijt terecht is, moet worden beantwoord tegen de achtergrond van de zorgplicht van banken jegens derden. Sinds 1998 is vaste rechtspraak van de Hoge Raad1 dat de maatschappelijke functie van banken ook een bijzondere zorgplicht meebrengt ten opzichte van derden, met wier belangen zij rekening moeten houden op grond van wat volgens ongeschreven recht in het maatschappelijk verkeer betaamt. De reikwijdte van deze zorgplicht hangt af van de omstandigheden van het geval. De Hoge Raad voegde daar in 2015 in het Van den Berg-arrest2 aan toe dat banken een centrale rol spelen in het betalings- en effectenverkeer en de dienstverlening terzake, op die gebieden bij uitstek deskundig zijn en terzake beschikken over informatie die anderen missen. Die rol rechtvaardigt dat hun zorgplicht mede strekt ter bescherming tegen lichtvaardigheid en gebrek aan kunde en die rol rechtvaardigt dat hun zorgplicht niet is beperkt tot zorg jegens personen die als klant in een contractuele relatie tot de bank staan.
Post transaction monitoring
Alle Nederlandse banken doen aan zogenaamde post transaction monitoring, wat inhoudt dat betaaltransacties achteraf worden geanalyseerd. Omdat sprake is van een enorm volume aan betalingen, wordt dit gedaan door geautomatiseerde systemen. Zo heeft alleen al de bank ongeveer 8 miljoen particuliere en 626.000 zakelijke klanten, die wekelijks alleen al tientallen miljoenen inkomende betalingen ontvangen. De geautomatiseerde systemen werken met vele honderden variabelen of indicatoren. Bepaalde indicatoren of combinaties van indicatoren maken dat het systeem een bepaalde betaling uit de grote brei aan betalingen plukt, en daarbij een zogenaamde alert genereert. De alerts worden vervolgens door medewerkers van de bank bekeken. Die maken dan een nadere analyse en kunnen allerlei acties ondernemen, waaronder het blokkeren van de bankrekening.
Deze post transaction monitoring dient, zo heeft de bank bij de mondelinge behandeling verduidelijkt, twee doelen.
Ten eerste voldoen banken daarmee aan de verplichtingen die de Wet ter voorkoming van witwassen en terrorismefinanciering (hierna: Wwft) ze oplegt. Banken moeten voortdurend controle uitoefenen op het rekeninggebruik, de transacties en de overige activiteiten van hun cliënten. Sommige alerts leiden na onderzoek tot melding door de bank bij FIU-NL van ongebruikelijke transacties. De alerts die worden gegenereerd uit een Wwft-oogpunt noemt de bank KYC-alerts.
Ten tweede doen banken aan post transaction monitoring om fraude tegen te gaan. De bank plaatst deze verplichting in de context van art. 3:10 Wet op het financieel toezicht (Wft) en artikel 10 Besluit Besluit prudentiële regels Wft (Bpr). Deze alerts noemt de bank fraude-alerts. Namens de bank is op de zitting aangevoerd dat fraude-alerts erop zijn gericht het risico te beperken dat haar klanten slachtoffer van fraude worden en het risico te beperken dat klanten frauderen.
De bank stelt – onbetwist – dat haar systeem geen alert heeft gegenereerd toen de betalingen binnenkwamen en geen alert heeft gegenereerd toen daarna het ontvangen bedrag in hoog tempo contant werden opgenomen. Gegeven het tweede verwijt dat UGTC de bank maakt, is de vraag die de rechtbank moet beantwoorden of de bank een zorgplicht jegens derden zoals UGTC heeft om haar post transaction monitoring systeem zo in te richten, dat betalingen zoals die door UGTC werden verricht op de betaalrekening, en de grote geldopnames die daarna plaatsvonden wél alerts genereren (die dan, na onderzoek, tot blokkering van de betaalrekening zouden hebben geleid). De bank voert wat dit betreft twee principiële verweren.
Verweer bank met betrekking tot ontbreken van subjectieve wetenschap
De bank stelt ten eerste dat zij een dergelijke zorgplicht niet kan hebben, omdat uit rov. 4.6 van het Van den Berg-arrest zou volgen dat alleen wanneer een bank subjectieve wetenschap heeft van ongebruikelijke activiteiten, zij verplicht kan zijn daar onderzoek naar te doen, waarbij zij verwijst naar een uitspraak van deze rechtbank. Omdat er geen alerts zijn gegenereerd, wist de bank tot in elk geval 1 mei 2020 (eerste contact met de Saudische bank) van niets, en tot in elk geval dat moment kan haar dan niets worden verweten, aldus de bank.
De vraag in de zaak Van den Berg was of van de bank kon worden gevergd dat zij tot onderzoek zou overgaan, omdat medewerkers van de bank wisten van ongebruikelijk betaalverkeer via de rekeningen van Van den Berg. De casus is gedateerd: Van den Berg had zeer regelmatig contact over betaalopdrachten met medewerkers van een filiaal van de bank. De vraag was of de bank daarmee ook wist dat Van den Berg zonder vergunning beleggingsactiviteiten verrichtte. Het hof had verondersteld dat de bank, gelet op haar specifieke positie en deskundigheid, bewust was van dit aan het ongebruikelijke betaalverkeer verbonden gevaar. Daarmee had het hof, nu wel vast stond dat de bank kennis had van het ongebruikelijke betaalverkeer, geen blijk gegeven van een onjuiste rechtsopvatting, aldus de Hoge Raad.
De rechtbank kan uit deze overweging niet een algemene regel afleiden dat een bank jegens derden die slachtoffer worden van betaalrekeningfraude uitsluitend een zorgplicht kan hebben vanaf het moment dat zij op de hoogte raken van een betaling waar mogelijk iets mis mee is. Banken doen mede aan post transaction monitoring om het risico op fraude met betaalrekeningen te beperken. De bedoeling van de monitoring is juist dat ze daardoor op de hoogte raken van betalingen waar mogelijk iets mis mee is. Tot het moment dat een slachtoffer van betaalrekeningfraude daar achter komt en actie onderneemt, is de bank van de partij die de betaling ontvangt de enige die schade kan voorkomen of beperken – door via monitoring betalingen te selecteren waar mogelijk iets mis mee is en die te onderzoeken. Dat geeft banken een bijzondere positie, die voortvloeit uit hun – in de woorden van de Hoge Raad in hetzelfde arrest – centrale rol in het betalingsverkeer. Het komt de rechtbank niet logisch voor dat die bijzondere positie geen enkele verantwoordelijkheid kan meebrengen, en aansprakelijkheid van banken jegens derden in verband met de inrichting van hun post transaction monitoring systeem categorisch zou zijn uitgesloten. De rechtbank gaat daar dan ook niet vanuit.
Verweer bank met betrekking tot relativiteit
De bank heeft ook aangevoerd dat als haar verweten zou kunnen worden dat zij een verplichting tot monitoring van het betalingsverkeer niet heeft nageleefd, het relativiteitsvereiste (artikel 6:163 BW) eraan in de weg staat dat zij voor de door UGTC geleden schade opdraait. Een derde zou geen beroep mogen doen op de gehoudenheid van de bank tot nakoming van publiekrechtelijke verplichtingen. Ook hier verwijst de bank naar een uitspraak van deze rechtbank. De bank heeft in deze zaak echter gesteld – en die nuance ontbreekt in de zaak waar ze naar verwijst – dat de post transaction monitoring twee doelen dient. Voor zover de bank dit doet om de Wwft na te leven, lijkt het relativiteitsverweer terecht. De bank doet – naar eigen zeggen – echter ook aan post transaction monitoring om het risico te beperken dat haar klanten slachtoffer van fraude worden en het risico te beperken dat derden slachtoffer van fraude door haar klanten worden. Daarom kan het beroep op het relativiteitsvereiste niet slagen. Als de bank zich naar eigen zeggen inspant om door post transaction monitoring het risico op fraude te beperken, strekt de norm die daar volgens UGTC uit voortvloeit tot bescherming tegen fraude, en daarmee tegen financiële schade als gevolg van fraude.
Reikwijdte zorgplicht
De rechtbank komt daarmee toe aan de inhoudelijke beantwoording van de vraag of de bank een zorgplicht heeft jegens UGTC om haar post transaction monitoring systeem zo in te richten, dat betalingen zoals die door UGTC werden verricht op de betaalrekening, en de grote geldopnames die daarna plaatsvonden, wél alerts zouden hebben gegenereerd.
Het roept bij de rechtbank vragen op dat de betalingen en geldopnames geen alerts hebben opgeleverd. Er was sprake van een particuliere betaalrekening, die slechts enkele maanden eerder was geopend en waarop nauwelijks transacties hebben plaatsgevonden. Vóór 9 april 2020 bedroeg de allerhoogste binnengekomen girale betaling € 3. Vervolgens werden vanaf een buitenlandse bankrekening bedragen bijgeschreven van bij elkaar meer dan € 86.000. Uit die feiten blijkt niet dat sprake is van fraude, maar er lijkt sprake van een risico dat de betaalrekening wordt gebruikt door fraudeurs. Dat geldt des te meer als de overgemaakte bedragen vervolgens in hoog tempo contant worden opgenomen.
Daarbij komt dat de rechtbank, zoals op de zitting al is besproken, ambtshalve bekend is met een zaak waarin bij bunq een binnengekomen betaling van iets meer dan € 40.000 van een buitenlandse (in dat geval: Griekse) zakelijke rekening op een één maand eerder geopende particuliere betaalrekening waar nog geen activiteit op had plaatsgevonden, wél een alert genereerde, nog voordat er iets met het binnengekomen geld was gebeurd. De vraag is waarom het geautomatiseerde systeem van bunq zo’n betaling er wel uitlicht, en het systeem van de bank niet.
Dat dit alles vragen oproept, wil evenwel nog niet zeggen dat de bank de hiervoor omschreven zorgplicht heeft. Of dat het geval is, zal om te beginnen afhangen van de vraag hoe zeer de omstandigheden (recent geopende rekening, nauwelijks gebruikt, grote buitenlandse betaling, en daarna in hoog tempo contant opnemen van de ontvangen bedragen) wijzen op een risico op fraude. Over dat risico heeft in deze procedure evenwel nog weinig debat plaatsgevonden. De rechtbank zal partijen daarom gelegenheid geven zich hier nader over uit te laten. Bij de vraag of de bank een dergelijke zorgplicht heeft spelen verder een rol de hoogte van de potentiële schade voor derden (in dit geval: de som van de binnengekomen bedragen) en de vraag hoe bezwaarlijk het voor de bank zou zijn om haar systeem ook een alert te laten genereren naar aanleiding van de omstandigheden rondom deze betaling (bijvoorbeeld in verband met het extra beslag dat dergelijke alerts zouden leggen op de middelen van de bank om alerts te onderzoeken). Ook over die vraag mogen partijen zich nader uitlaten.
De rechtbank verzoekt partijen zich in hun aktes uit te laten over de volgende punten:
- het risico dat sprake is van betaalrekeningfraude als op een particuliere betaalrekening, die enkele maanden eerder is geopend en waarop slechts enkele marginale transacties hebben plaatsgevonden, een buitenlandse betaling binnenkomt in de orde van grootte van € 86.000.
- het risico dat sprake is van fraude in de situatie onder i., als het binnengekomen bedrag direct in hoog tempo contant wordt opgenomen.
- de vraag hoe bezwaarlijk het voor de bank zou zijn om haar systeem ook een alert / alerts te laten genereren naar aanleiding van de onder i. en ii. genoemde omstandigheden.