Het Saudische United Gulf Trading Company (UGTC) Ltd werd in 2020 voor ruim €86.000,- opgelicht via een bij ING Apeldoorn geopende bankrekening. Volgens de rechtbank Amsterdam hadden daarover bij de bank intern geen alarmbellen af hoeven gaan. Dat er een groot geldbedrag uit het buitenland op een bankrekening wordt gestort die voorheen nauwelijks is gebruikt, om dat bedrag daarna met een serie geldopnamen weg te sluizen, is op zichzelf onvoldoende om fraude te vermoeden. De vordering tot schadevergoeding van de Saudi’s wordt dan ook afgewezen.
Oplichting via betaalrekening bij ING Apeldoorn
Op 15 januari 2020 werd bij een filiaal van de bank in Apeldoorn een particuliere betaalrekening geopend. Kort daarna vond via de betaalrekening geen enkele transactie plaats. Tussen 12 februari en 3 april 2020 werden wel een aantal kleine transacties uitgevoerd. Op 9 april 2020 volgde ineens een grote klapper: toen werden drie betalingen van het Saudische handelsbedrijf UGTC op de betaalrekening bijgeschreven, van in totaal ruim €86.000,-. Kort daarna werd bijna dat volledige bedrag contant opgenomen bij geldautomaten in Apeldoorn. Na de laatste opname op 17 april 2020 was er nagenoeg geen saldo meer over.
UGTC bleek het slachtoffer te zijn geworden van oplichting. Toen het bedrijf de betalingen deed verkeerden de Saudi’s in de veronderstelling dat ze betaalden aan Terex Global GmbH, een zakenrelatie waar bouwmachines en onderdelen werden afgenomen. Enige tijd later kreeg UGTC van Terex te horen dat dat bedrijf geen betaling had ontvangen. Nadat UGTC aan Terex de overboekingsbewijzen had toegezonden, liet Terex weten dat zij haar bankrekeningen aanhoudt bij Bank of America en geen rekeningen bij ING heeft. Terex liet ook weten dat haar IT-afdeling er bekend mee was geworden dat onbekenden frauduleuze mails namens Terex hadden verstuurd. Terex liet weten dat zij vermoedde dat sprake was van mailspoofing (waarbij e-mails worden gemanipuleerd zodat zij voor de ontvanger afkomstig lijken te zijn van een bestaand, correct e-mailadres) in combinatie met een hack in de mailsystemen van UGTC. Op 1 mei 2020 deed de Saudische bank van UGTC bij ING melding dat Terex het geld niet had ontvangen. Op 13 mei 2020 werd een zogenaamd cancellation request gedaan. ING blokkeerde diezelfde dag de betaalrekening.
Rechtszaak tegen ING
Bij de rechtbank Amsterdam vroegen de Saudi’s daarna onder meer om voor recht te verklaren dat de bank onrechtmatig jegens hen handelde en de bank tot een schadevergoeding te veroordelen. In een tussenuitspraak ging de rechtbank eind vorig jaar al uitgebreid in op de reikwijdte van de zorgplicht van de bank. Een deel van de verwijten van UGTC aan de bank werd toen terzijde geschoven.
Transactiemonitoring
De rechtbank moest echter nog beslissen over het verwijt dat de bank de betaalrekening niet heeft geblokkeerd naar aanleiding van de betalingen van UGTC en de grote geldopnames die daarna plaatsvonden. Of dat verwijt terecht is, is afhankelijk van het antwoord op de vraag of de bank een zorgplicht heeft jegens UGTC om haar post transaction monitoring systeem zo in te richten, dat betalingen zoals die door UGTC werden verricht op de betaalrekening, en de grote geldopnames die daarna plaatsvonden, wél alerts zouden hebben gegenereerd.
Post transaction monitoring versus fraudemonitoring
Na het tussenvonnis heeft de bank erop gewezen dat zij de term post transaction monitoring alleen gebruikt in het kader van haar Wwft-verplichtingen. Bij fraudemonitoring, die zij zegt te verrichten in het kader van onder meer haar Wft-verplichtingen, wordt ook gekeken naar verrichte transacties, maar die monitoring is breder. De fraudemonitoring wordt, net als de post transaction monitoring in het kader van de Wwft, verricht door geautomatiseerde systemen die alerts genereren die vervolgens moeten worden bekeken door bankmedewerkers. Bij fraudemonitoring wordt naar meer gekeken dan naar transacties; de systemen houden ook rekening met dingen als verhoging van limieten en regelmaat van inloggen op een betaalrekening. De rechtbank zal de in het tussenvonnis gestelde vraag daarom herformuleren. De vraag is of de bank een zorgplicht heeft jegens UGTC om haar fraudemonitoring systeem zo in te richten, dat betalingen zoals die door UGTC werden verricht op de betaalrekening, en de grote geldopnames die daarna plaatsvonden, wél alerts zouden hebben gegenereerd.
Verplichtingen bank
Een algemene verplichting voor de bank om alle transacties te monitoren is in de rechtspraak afgewezen, concludeert de rechtbank uit eerdere jurisprudentie. Wel heeft de bank in dit geval een andere verplichting: ‘Als een derde, die slachtoffer is geworden van fraude waar een klant van een bank aan heeft meegedaan, gemotiveerd stelt dat het fraudemonitoring systeem van de bank een alert had moeten opleveren, en vast staat dat dit niet is gebeurd, zal de bank moeten toelichten waarom het systeem geen alert gaf. Daarbij mag niet teveel van een bank gevraagd worden. Naar zijn aard draagt het openbaar maken van de instellingen van fraudemonitoring-systemen het risico in zich dat fraudeurs daar hun voordeel mee doen voor de toekomst. De bank heeft ter zitting verder toegelicht dat haar fraudemonitoring-systemen ook voortdurend worden aangepast en verfijnd en dat De Nederlandsche Bank hierop toezicht houdt.’
Indicaties fraude?
UGTC heeft bij de rechtbank aangevoerd dat het fraudemonitoring systeem van de bank een alert of alerts had moeten opleveren. Het handelsbedrijf betoogt dat de ontvangst van hoge bedragen op een kortgeleden geopende rekening en de contante opnames daarna duidelijke indicaties voor fraude vormen.
De rechtbank vat vervolgens samen wat ING daar tegenover stelt: ‘Zij stelt nu dat haar fraudemonitoring alleen gericht is op het voorkomen van misbruik van zogenaamde ‘credentials’ van betaalinstrumenten van bankklanten, met het doel te voorkomen of te beperken dat bankklanten daardoor het slachtoffer worden van fraude. Dit wordt door de bank aangeduid als ‘bancaire fraude’. Het gaat om situaties waarin iemand de bank probeert te bewegen tot een transactie die niet door de cliënt beoogd is. Van dergelijke bancaire fraude is hier geen sprake. De cliënt van de bank is hier immers een ’katvanger’, de transacties die verricht worden zijn niet tegen de wil van die cliënt verricht. Er is bijgeschreven op een geldig IBAN-nummer ten name van de cliënt en er is geld opgenomen met de pinpas en pincode van de cliënt. Het gaat hier om wat de bank ‘niet-bancaire fraude” noemt. UGTC is opgelicht doordat zij een factuur aan haar leverancier dacht te betalen, maar in werkelijkheid aan een ander betaalde. Daarbij is dus fraude gepleegd niet jegens de bank of haar cliënt, maar jegens een derde (UGTC als opdrachtgever van de overboekingen). De bank is daarbij alleen indirect betrokken omdat er geld van UGTC via een bij haar aangehouden rekening is weggevloeid naar de fraudeur(s).
De bank wijst er daarbij ook op dat zij als betaaldienstverlener verplicht is overboekingen van derden op een geldige bankrekening van haar klant onverwijld bij te schrijven. Er is hier een geldig IBAN-nummer gebruikt, zodat de bank verplicht was het ontvangen bedrag op die rekening bij te boeken.
Ten slotte heeft de bank betoogd dat een betaling uit het buitenland, ook als die wordt bijgeschreven op een kortgeleden geopende rekening waarop nog weinig transacties hebben plaatsgevonden, naar haar ervaring onvoldoende wijst op fraude en dus geen situatie is waarin een alert op zijn plaats zou zijn. Ook stelt zij dat het enkele feit dat op een aantal opeenvolgende dagen het op dat moment geldende maximale bedrag per dag contant wordt opgenomen niet zozeer afwijkt van normale transacties dat dit wijst op fraude. Van bijkomende omstandigheden die wel zouden kunnen duiden op een patroon van fraude was geen sprake, aldus de bank. Zij noemt als voorbeeld een verhoging van de limiet voor contante opnames. Die heeft hier niet plaatsgevonden; de opgenomen bedragen bleven steeds binnen de standaard opnamelimiet die bij de betaalrekening hoorde.’
Geen schending zorgplicht
Na het verweer van ING komt de rechtbank uiteindelijk tot de conclusie dat de bank niets valt te verwijten: ‘UGTC heeft haar standpunt gehandhaafd, maar heeft geen specifieke redenen aangevoerd op grond waarvan kan worden aangenomen dat de bank – anders dan zij stelt – in zijn algemeenheid uit het feit dat een groot geldbedrag uit het buitenland op een bankrekening wordt gestort moet afleiden dat vermoedelijk sprake is van fraude. Ook heeft zij geen omstandigheden aangevoerd die er op wijzen dat een serie geldopnamen van bedragen van in totaal € 10.000 per dag op zich zelf wijzen op fraude.
De bank heeft de stelling van UGTC aldus voldoende weersproken. De rechtbank kan niet vaststellen dat de bank in dit geval een zorgplicht jegens UGTC heeft geschonden. De bank heeft dus niet onrechtmatig gehandeld tegen UGTC. De vorderingen van UGTC waar de rechtbank nog niet op had beslist zullen daarom worden afgewezen.’
Rechtbank Amsterdam, ECLI:NL:RBAMS:2023:4597
Gebrek aan alarmbellen bij ING na oplichting door Apeldoornse klant roept vragen op bij rechtbank
