Volgens de rechtbank in Amsterdam is de bank Bunq niet aansprakelijk voor het verlies van 33.000 euro die een klant leed door een phishingaanval. De rechter oordeelde dat de bank in dit specifieke geval voldoende veiligheidsmaatregelen had genomen om de rekeninghouder te beschermen. De klant was dus zelf nalatig geweest.
De klant ontving medio 2022 een phishing-sms met de mededeling dat haar ‘gegevens niet volledig waren geverifieerd’. Een link in die sms leidde naar een phishingwebsite. De klant klikte op de link en liet haar gegevens daar achter. Dat stelde criminelen in staat via een ander apparaat een inlogpoging te ondernemen. In reactie daarop stuurde Bunq een echte sms met het verzoek de inlogpoging via een nieuw apparaat te bevestigen.
De klant deed dit, waarna Bunq een e-mail stuurde om te controleren of het toch écht de klant was die inlogde. Daar deed de klant blijkbaar niets mee, want een dag later wist een criminele partij met het nieuw gekoppelde apparaat in te loggen op de bankrekening. Het e-mailadres werd gewijzigd en de rekening werd voor 33.000 euro geplunderd. Uit het vonnis wordt overigens niet helemaal duidelijk of de klant nu iets moest aanklikken in de mail of juist niet.
Destijds afkoelingsperiode gehanteerd
Bunq hanteerde destijds een afkoelingsperiode van 24 uur voor transacties boven de vijfhonderd euro en het wijzigen van persoonsgegevens zoals e-mailadres en telefoonnummer. Later schafte de bank deze periode af (dus nadat deze zaak ging spelen), al heeft Bunq weer nieuwe maatregelen geïntroduceerd. Dat gebeurde nadat klanten van de bank de publiciteit zochten nadat hun rekeningen waren leeggehaald door criminelen. Zij vonden dat de bank hen onvoldoende had beschermd.
Ook in deze zaak vond de klant dat de bank onvoldoende bescherming had geboden tegen malafide praktijken, maar daar ging de rechter niet in mee. Die stelde vast dat de klant de veiligheidsvoorschriften niet had nageleefd en dus nalatig was geweest.
Bunq had de klant immers geïnformeerd toen er een nieuw apparaat werd aangemeld, een waarschuwingsmail verstuurd nadat er vanaf een nieuw apparaat was ingelogd én de afkoelingsperiode van 24 uur gehanteerd voor grote transacties vanaf een nieuw apparaat. Verder voerde de bank in het algemeen een voorlichtingscampagne over het gevaar van phishingberichten, wat de rechter heeft meegewogen in het oordeel.
Lees ook: Focus op gemak bij Bunq maakt klanten doelwit voor cybercriminelen