Phishing en uw bank: wie moet wat bewijzen?
Verloor u geld door phishing en weigert uw bank terug te betalen? De wet vertrekt vaak van het tegenovergestelde en legt de bewijslast bij de bank.
Wie slachtoffer wordt van phishing, krijgt bij de bank vaak hetzelfde te horen: "u bent zelf onvoorzichtig geweest, wij betalen niet terug." Begrijpelijk dat veel mensen het daarbij laten. Toch klopt dat uitgangspunt juridisch vaak niet. De wet vertrekt namelijk van het tegenovergestelde principe, en het is belangrijk dat u dat weet.
De basisregel: de bank betaalt in principe terug
Het Wetboek van economisch recht (WER) regelt wat er gebeurt bij een zogenaamde "niet-toegestane betalingstransactie": een betaling waarmee u als rekeninghouder niet bewust hebt ingestemd. Dat is precies wat er bij phishing gebeurt wanneer een fraudeur, buiten uw medeweten, geld van uw rekening haalt. In dat geval bepaalt artikel VII.43 WER dat de bank het bedrag in principe onmiddellijk moet terugbetalen, in beginsel uiterlijk de eerste werkdag nadat u de transactie hebt gemeld.
De wet voorziet wel dat u tot het ogenblik van uw melding in beginsel een beperkt eigen risico draagt van maximaal 50 euro (artikel VII.44, §1 WER). Bij phishing valt zelfs dat bedrag vaak weg: kon u het onrechtmatige gebruik niet vaststellen vóór de betaling plaatsvond, dan draagt u helemaal geen verlies. De rechtbank in Gent oordeelde precies in die zin (29 april 2024). Het bedrag boven dat eigen risico is hoe dan ook in principe voor rekening van de bank, tenzij er een uitzondering speelt.
De kern: de bewijslast ligt bij de bank
Hier zit de echte kanteling. De bank hoeft alleen niet terug te betalen als zij kan aantonen dat u frauduleus of grof nalatig handelde. En cruciaal: artikel VII.44, §4 WER legt die bewijslast uitdrukkelijk bij de bank. Niet u moet bewijzen dat u zorgvuldig was; de bank moet bewijzen dat u een zware fout maakte. Bij twijfel speelt het voordeel in uw richting.
De wet voegt er nog iets belangrijks aan toe. Het loutere feit dat een betaling technisch correct werd geregistreerd, met de juiste kaart, code of app, vormt op zich géén voldoende bewijs dat u de transactie toestond of grof nalatig was (artikel VII.42 WER). De bank moet dus méér aanbrengen dan haar eigen loggegevens.
Wat zegt de rechtspraak?
De rechtbanken volgen die lijn. Zo oordeelde de rechtbank in Gent (29 april 2024) dat het klikken op een betaallink op zich geen grove nalatigheid uitmaakt, en dat een slachtoffer dat geen codes had prijsgegeven, geen enkel verlies hoefde te dragen. De ondernemingsrechtbank in Brussel (13 maart 2025) kwam tot een vergelijkbaar besluit: enkel loggegevens van de bank volstaan niet om grove nalatigheid te bewijzen, en de consumentenbescherming blijft gelden, zelfs wanneer betalingen via een professioneel platform liepen.
Eerlijk blijven: de uitzondering bestaat
Dit betekent niet dat élk dossier automatisch slaagt. "Grove nalatigheid" bestaat als juridisch begrip, en in sommige gevallen oordeelt de rechter dat een slachtoffer te ver ging. Denk aan iemand die telefonisch validatiecodes doorgeeft voor betalingen waarvan duidelijk het bedrag en de begunstigde vermeld stonden. Elk dossier wordt op zijn eigen feiten beoordeeld. Net daarom is een grondige, eerlijke analyse zo waardevol: ze maakt het verschil tussen opgeven en terecht uw recht opeisen.
Wat kunt u doen?
Hebt u geld verloren door phishing en weigert uw bank terug te betalen? Leg u daar niet zomaar bij neer. Laat uw dossier vrijblijvend en realistisch beoordelen door ons team.
Koraal Advocaten. Vier kantoren in Limburg, antwoord binnen één werkdag. Bel +32 11 25 20 20 of mail info@koraaladvocaten.com.
Deze bijdrage is algemene informatie en geen juridisch advies op maat. Elk dossier is anders.