Spoofing of bankhelpdeskfraude vormen al jaren een groeiend probleem in de financiële sector. Daarover schreven wij eerder een blog. In 2020 besloten vier grootbanken om particuliere klanten die slachtoffer zijn geworden van bankhelpdeskfraude uit coulance te vergoeden. Een vergoeding kan uit coulance worden aangeboden. Een wettelijk kader ontbrak echter. Met het voorstel van Payment Services Regulation (PSR) verandert dit: van vergoeding uit coulance naar een wettelijke verplichting. Onze collega Bryan Uitman zal jullie daar in dit blog meer over vertellen.
Huidige stand van zaken
Onder het huidige Coulancekader, kunnen particuliere klanten van banken een vergoeding krijgen als ze slachtoffer zijn geworden van spoofing, mits ze aan bepaalde voorwaarden voldoen. Het Coulancekader is echter geen wettelijk afdwingbare regeling. De civiele rechter en de geschillencommissie van het Klachteninstituut Financiële Dienstverlening (Kifid) hebben dat vaker overwogen. Hier kan verschillend over geoordeeld worden, aldus een recente uitspraak van de Commissie van Beroep van Kifid. Iedereen lijkt er dus mee gebaat dat er een wettelijke regeling komt.
Wat verandert er met de Payment Services Regulation?
Waar vergoeding op grond van het Coulancekader volgens de civiele rechter “niet rechtens afdwingbaar” is, introduceert de PSR een dwingende terugbetalingsplicht. Banken zijn straks verplicht om slachtoffers van ‘impersonatiefraude’ (bijvoorbeeld bankhelpdeskfraude) te vergoeden, tenzij de bank kan aantonen dat de consument frauduleus of met grove nalatigheid heeft gehandeld. Deze striktere bescherming voor consumenten zal naar verwachting niet alleen leiden tot een stijging in het aantal vergoedingen, maar ook tot een toename in geschillen over wat als "grove nalatigheid" moet worden beschouwd.
Daarnaast lijkt de PSR de definitie van bankhelpdeskfraude te verruimen ten opzichte van het Coulancekader. Waar het Coulancekader alleen bankhelpdeskfraude via ‘vervalste telefoonnummers’ omvat, breidt de PSR dit uit naar fraude waarbij ook e-mailadressen van banken onrechtmatig worden gebruikt. Naast de gevallen van telefonisch spoofing, zullen ook slachtoffers van phishing-mails onder de nieuwe terugbetalingsplicht vallen.
Naast de verplichting om tot vergoeding over te gaan, stelt de PSR termijnen voor terugbetaling vast. Banken krijgen tien werkdagen om een fraudemelding te beoordelen. Binnen die termijn moet de bank óf tot vergoeding zijn overgegaan óf tot een goed onderbouwde afwijzing komen. Deze korte termijn zal vermoedelijk financiële instellingen dwingen om hun interne processen voor dergelijke beoordelingen efficiënter in te richten.
Voorbereiden op veranderingen als gevolg van Payment Services Regulation
Hoe de Payment Services Regulation zich in de praktijk zal ontvouwen is nog koffiedik kijken. Maar het lijkt erop dat de aanpak van fraude voor banken een meer proactieve en juridisch afdwingbare rol krijgt. Banken zullen hun systemen en interne processen moeten aanpassen om te voldoen aan de verplichte vergoeding (en aangescherpte bewijslast). Daarnaast zullen banken nog meer gebaat zijn bij fraudepreventie, nu de kosten van impersonatiefraude via een vergoeding in veel gevallen bij de banken komen te liggen.
De verwachting is dat de PSR niet voor 2026 in werking treedt. Banken hebben dus nog enige tijd om zich voor te bereiden op veranderingen. Toch lijken de dagen van een vergoeding uit coulance als vrijwillig gebaar voorbij. Met de Payment Services Regulation wordt de vergoeding een harde verplichting.
Heb je vragen over dit onderwerp?
Bij Law&Pepper verzorgen wij regelmatig cursussen voor financiële instellingen. Daarbij vinden wij het vanzelfsprekend dat de inhoud van onze presentatie op jouw organisatie is afgestemd. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem dan vrijblijvend contact op met Philippe Jansen.
