Na de pandemie kunnen we allemaal beamen dat de digitalisering niet meer weg te denken is. En als bedrijven niet achter willen blijven, is het een must dat ze zich aanpassen aan deze digitalisering. Ondanks de vele voordelen die digitalisering biedt, is er helaas ook een keerzijde: het risico van cyberaanvallen, die de laatste jaren sterk zijn toegenomen, zowel op particulieren als op bedrijven.
Het doel van dit artikel is het onder de loep nemen van cyberaanvallen op bedrijven en kijken welke mogelijkheden de gedupeerde bedrijven hebben om hun geld terug te krijgen. Deze cyberaanvallen die zich op bedrijven voordoen staan ook wel bekend als “CEO-fraude”, “Man in the middle” of “factuurfraude”.
Wat is de modus operandi van de “CEO-fraude”, “Man in the middle” of “factuurfraude”?
De Guardia Civil Technological Crimes Unit van de regio Murcia legt uit wat deze fraude inhoudt:
“De modus operandi begint met social engineering gericht op bedrijven, waarbij de oplichter zich voordoet als een leverancier om het innen van facturen om te leiden naar andere rekeningnummers die de cybercrimineel beheert.
Oplichters breken in op bedrijfsservers of e-mailaccounts van werknemers om gerelateerde berichten tussen het bedrijf en zijn leveranciers te bemachtigen, zoals gegevens over uitstaande betalingen.
Als de crimineel weet hoe de relatie klant/leverancier is, dan stuurt de crimineel een e-mail met een vervalst bankcertificaat van de lopende rekening van een bank met een nieuw rekeningnummer en de vermelding in de e-mail dat de betalingen in de toekomst op dit rekeningnummer moeten worden overgeschreven.
Maar het kan ook gebeuren dat de cybercrimineel via een virus toegang heeft gekregen tot de servers en zich mengt in de e-mails tussen verzender en ontvanger en door zich voor te doen als de leverancier, de facturen onderschept. Hiervoor voegt hij bepaalde regels voor het doorsturen van berichten in de server in, waarin staat dat alle berichten met woorden als “factu”, “offer”, “aanbod”…. naar een e-mailadres moeten worden gestuurd.
Zo ontvangt de crimineel de facturen die de leverancier aan de klant stuurt, wijzigt deze met beeldbeheerprogramma’s (image management) en voegt een nieuw IBAN in waarmee de factuur moet worden betaald. Op basis daarvan creëert hij een nieuwe e-mail met de naam van de leverancier en van daaruit een server die de identiteit van de gebruiker niet garandeert, waardoor de schijn van legitimiteit wordt gewekt, hoewel het een e-mail is die speciaal is gemaakt om te frauderen.
De cybercrimineel neemt dan via deze e-mail contact op met het bedrijf, doet zich voor als de leverancier en verstuurt de gewijzigde factuur. De betalingswijze van de factuur bevat reeds het frauduleuze bankrekeningnummer waarnaar de betalingsafdeling van het opgelichte bedrijf het geld zal overmaken.”
Welke opties heeft een bedrijf dat slachtoffer is geworden van een cyberaanval en een frauduleuze overboeking heeft gemaakt en wat moet het bedrijf doen?
Om te beginnen moet een bedrijf dat slachtoffer is geworden van een cyberaanval en een frauduleuze overboeking heeft gemaakt onmiddellijk zijn bank informeren om te proberen de overboeking te stoppen en het geld terug te krijgen.
De volgende stap, die vrijwel gelijktijdig moet worden genomen, is het melden van het incident aan de politie: de Guardia Civil of de Policía Nacional.
Deze aangifte zal leiden tot de opening van een politierapport voor het feitenonderzoek. Hiervoor zal de politie de bank waar het geld ontvangen is verzoeken om de identiteit van de rekeninghouder bekend te maken en het geld op de bankrekening te blokkeren. Normaal gesproken wordt de rekeninghouder gearresteerd, verhoord en voorgeleid aan een strafrechter voor het openen van een vooronderzoek.
Als het bedrijf het geld niet heeft kunnen terugkrijgen, dan zal het een strafrechtelijke procedure tegen de vermeende oplichter moeten starten.
Helaas leert de ervaring ons dat de rekeninghouder meestal “een muilezel” is, zoals dat ook wel in de volksmond genoemd wordt. Dat wil zeggen, een persoon die zijn identiteit leent voor het witwassen van geld. Hij ontvangt het geld op zijn rekening en maakt het vervolgens over naar de door de hacker aangegeven rekeningen, die zich meestal in andere landen bevinden. Hierdoor wordt het zeer moeilijk om het geld van de rekeninghouder terug te krijgen, ondanks dat hij hiervoor veroordeeld is.
Het bedrijf dat de gevolgen van de hack heeft ondervonden wordt zo gedwongen om de volgende actie te ondernemen: een onderzoek naar de mogelijke aansprakelijkheid van de bank, zowel in een strafrechtelijke als in een civielrechtelijke procedure.
Want banken kunnen aansprakelijk worden gesteld in geval van frauduleuze overboekingen wanneer hun handelswijze nalatig is geweest. Deze aansprakelijkheid van de bank kan zijn:
- Contractueel: de aansprakelijkheid van de bank van het bedrijf die de overboeking heeft uitgevoerd en waarmee dat bedrijf een contract voor betalingsdiensten heeft afgesloten. En die aansprakelijkheid treedt in werking wanneer de overboeking is uitgevoerd door een onbevoegde persoon, wanneer de overeengekomen limieten worden overschreden of wanneer er geen gebruik wordt gemaakt van de relevante dubbele authenticatiesystemen.
- Extracontractueel: de aansprakelijkheid van de bank waar de overboeking is ontvangen en waar de opdrachtgever van de overboeking geen relatie mee heeft, maar die wel degelijk aansprakelijk kan worden gesteld als die bank nalatig heeft gehandeld en verzuimd heeft de regelgeving inzake betalingsdiensten en/of de regelgeving inzake witwaspreventie in acht te nemen.
Wat is de extracontractuele aansprakelijkheid van de bank waar de overboeking is ontvangen?
Deze aansprakelijkheid heeft als uitgangspunt dat, zoals het Spaanse Hooggerechtshof heeft aangegeven (STS van 15 juli 1988), “de van een bank verlangde zorgvuldigheid is niet de zorgvuldigheid van een goede huisvader, maar die van een “deskundig ondernemer” die “hoge bekwaamheid” en “uiterste voorzichtigheid” aanbeveelt bij de uitvoering van de opdrachten van de klant” en dat “op dit punt er een objectief criterium in acht genomen moet worden bij het bepalen van de aansprakelijkheid en dit criterium is niets anders dan de juiste instructies van de klant”.
En de STS [STS = uitspraak Hooggerechtshof] van 20 mei 1988 voegt daaraan toe… “De bank moet als gemachtigde de instructies van de klant uitvoeren, met zijn bij- en afschrijvingen“.
De bank is namelijk verplicht de instructies en opdrachten van haar klant op te volgen. En deze instructies van de klant zijn de instructies die bij de overboekingsopdracht gegeven zijn, overeenkomstig Verordening 260/2012 van de Europese Unie. Deze instructies bestaan uit een reeks verplichte velden, waaronder de naam van de opdrachtgever en het IBAN van de debetrekening, het bedrag van de overboeking, het IBAN van de bestemmingsrekening en de naam van de begunstigde.
Wanneer een bank een overboeking uitvoert zonder na te gaan of de rekeninghouder overeenkomt met de vermelde begunstigde van de overboekingsopdracht, handelt de bank dus niet zorgvuldig. Daarom kan de bank aansprakelijk gesteld worden door de gedupeerden en moet de bank hen het geleden geldverlies vergoeden. Dit wordt al in uitspraken bij de provinciale rechtbanken van Valencia, Madrid en Cordoba op die manier verkondigd.
Hoewel andere provinciale rechtbanken, zoals die van Zaragoza of Toledo, er een andere mening op na houden en vinden dat de ontvangende bank op grond van artikel 59 van het Spaanse koninklijk wetsbesluit 19/2018 betreffende betalingsdiensten haar wettelijke verplichting nakomt, en dus niet aansprakelijk moet worden gesteld, als de bank de overboeking verricht alleen op basis van de unieke identificatiecode (IBAN), die in de overboekingsopdracht is opgenomen, ook al komt deze niet met de begunstigde overeen.
Bij Imont Legal & Taxes weten we dat deze tweede opvatting in strijd is met de bijzondere zorgvuldigheid die van banken moet worden verlangd. Banken spelen een grote rol bij preventie van fraude en met de geest van de wet is dit niets anders dan de adequate bescherming van gebruikers van betalingsdiensten. We vertrouwen er dan ook op dat het Spaanse Hooggerechtshof hier in de nabije toekomst een uitspraak over zal doen. Tot die tijd zullen we de bedrijven en particulieren die slachtoffer zijn geworden van deze aanvallen op de banken blijven verdedigen voor de rechtbanken en provinciale rechtbanken in het hele land.
Het is niet voor niets dat banken van noodzakelijk belang zijn bij witwaspreventie. Zowel de wet ter voorkoming van het witwassen van geld als de verordening die deze uitwerkt, hebben een reeks zorgvuldigheidsmaatregelen vastgelegd die alle financiële instellingen moeten toepassen, onder andere:
- Identificatie van klanten en controle van de door hen verstrekte documenten en gegevens.
- Identificatie van de uiteindelijke begunstigde wanneer de klant een vennootschap is.
- Kennis en controle van de beroeps- of bedrijfsactiviteit van de klanten.
- Voortdurende controle van de zakelijke relatie om bijvoorbeeld ongebruikelijke transacties op te sporen aan de hand van het bedrag of de bedrijfssector.
We wijzen erop dat het witwassen van geld bestaat uit een proces of een aantal transacties waarbij goederen of geld afkomstig van criminele activiteiten, waarvan de herkomst wordt verhuld, in het economische en financiële systeem terechtkomen.
Gezien het bijzondere belang van banken bij de preventie van dit soort fraude, als de bank waarvandaan het geld van de cyberaanval is overgemaakt of is betaald, de vereiste zorgvuldigheidsmaatregelen niet in acht heeft genomen, dan kan deze bank subsidiair aansprakelijk gehouden worden en kan daarom worden veroordeeld tot het vergoeden van de geleden financiële schade. Dit is de uitspraak van het Spaanse Hooggerechtshof in arrest 279/201 van 9 april 2012.
Als u ondernemer bent en slachtoffer bent geworden van “CEO-fraude”, “Man in the middle” of “factuurfraude”, neemt u dan contact op met ons kantoor. Onze gespecialiseerde advocaten bieden u de nodige hulp en advies om uw zaak met goed gevolg op te lossen.