De vereiste van een kennisvereiste (pincode) en een bezitsvereiste (bankkaart) maakt een sterke cliëntenauthentificatie uit.
Een door een betalingsaanbieder medegedeelde geheime SMS code telefonisch doorgeven maakt een grove nalatigheid uit van de consument.
Artikel Vll.32 WER bepaalt wanneer er sprake is van een toegestane transactie:
"§1 Een betalingstransactie wordt pas als toegestaan aangemerkt indien de betaler heeft ingestemd met de uitvoering van de betalingsopdracht.
Een betalingstransactie kan voorafgaand aan de uitvoering of, indien overeengekomen door de betaler en zijn betalingsdienstaanbieder, na de uitvoering door de betaler worden toegestaan.
§ 2 De instemming om een betalingstransactie of een reeks betalingstransacties te doen uitvoeren wordt verleend in de tussen de betaler en de betalingsdienstaanbieder overeengekomen vorm en volgens de overeengekomen procedure.
De instemming met de uitvoering van een betalingstransactie kan ook worden verleend via de begunstigde of de betalingsinitiatiedienstaanbieder.
Zonder instemming wordt een betalingstransactie niet als toegestaan aangemerkt ( ... ).
§ 4 De procedure voor het verlenen van de instemming wordt en de betrokken betalingsdienstaanbieder(s) ."
In de voorbereidende werkzaamheden wordt bepaald dat de instemming 'uitdrukkelijk' moet gebeuren (Parl.St. Kamer2017-18, 3131/001, 38).
Artikel VII-42 WER bepaalt inzake de bewijslast:
"§1 Wanneer een betalingsdienstgebruiker ontkent dat hij een uitgevoerde betalingstransactie heeft toegestaan of aanvoert dat de betalingstransactie niet correct is uitgevoerd, is de betalingsdienstaanbieder gehouden het bewijs te leveren dat de betalingstransactie is geauthentificeerd, juist is geregistreerd, is geboekt en niet door een technische storing of enig ander falen van de door de betalingsdienstaanbieder aangeboden diensten is beïnvloed (... ).
§ 2 Wanneer een betalingsdienstgebruiker ontkent dat hij een uitgevoerde betalingstransactie heeft toegestaan, vormt het gebruik van een betaalinstrument, dat door de betalingsaanbieder is geregistreerd, met inbegrip van in voorkomend geval de betalingsinitiatiedienstaanbieder, op zichzelf niet noodzakelijkerwijze afdoende bewijs dat de betalingstransactie door de betaler is toegestaan of dat de betaler frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer van de verplichtingen uit hoofde van artikel V//.38 niet is nagekomen.
De betalingsdienstaanbieder, met inbegrip van in voorkomend geval de betalingsinitiatiedienstaanbieder, verstrekt ondersteunend bewijs om fraude of grove nalatigheid van de zijde van de betaler te bewijzen."
Artikel 1.9, 10°WER definieert het begrip 'betaalinstrument' als volgt:
"Elk gepersonaliseerd instrument en/of geheel van procedures overeengekomen tussen de betalingsdienstgebruiker en de betailngsdienstaanbieder, waarvan de betalingsdienstgebruiker gebruikmaakt om een betalingsopdracht te initiëren."
Artikel n.D.2.2.2. van het 'Algemeen Reglement der Verrichtingen A. nv' bepaalt met betrekking tot de bewijslevering inzake artikel 42 § 1 WER:
"Wanneer de klant ontkent dat hij een uitgevoerde Betalingstransactie heeft toegestaan of aanvoert dat de Betalingstransactie niet correct is uitgevoerd, levert de Spaarbank aan de hand van de journaaibond of gelijkwaardige gegevensdrager waarop alle gegevens betreffende de gedane transacties worden geregistreerd, het bewijs van de betrokken transactie, onverminderd het recht van de klant om het tegenbewijs te leveren."
Het enkele gegeven dat de betalingstransactie volgens de overeengekomen authenticatieprocedure (met gebruikmaking van bankkaart en pincode door de rechtmatige kaarthouder) geauthentificeerd werd of dat het betaalinstrument overeenkomstig de overeengekomen procedure gebruikt werd, volstaat niet als bewijs van de uitdrukkelijke instemming van geïntimeerde met de betwiste transacties (artikel Vll.42 § 2 WER).
Dit gebruik verhindert immers niet dat de betalingsdienstgebruikers aannemelijk kunnen maken dat zij niet uitdrukkelijk met de betwiste transacties instemden en dat zij de betwiste transacties niet zelf initieerden.
Artikel Vll.44 § 2 WER bepaalt dat de elektronische betaler geen eventuele frauduleuze verliezen draagt, wanneer de betalingsaanbieder van de betaler geen sterke cliëntauthenticatie verlangt (tenzij de betaler frauduleus gehandeld heeft).
Wanneer de betaler ontkent dat de betaler een sterke clientauthenticatie verlangde, is het aan deze betalingsdienstaanbieder om hiervan het bewijs te leveren.
De Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt voerde het begrip 'sterke clientauthenticatie' in met het oog op verminderen van de toegenomen veiligheidsrisico's verbonden aan elektronische betalingen.
Dit begrip werd in artikel 4, 30° als volgt gedefinieerd:
"authenticatie met gebruikmaking van twee of meer factoren die worden aangemerkt als kennis (iets wat alleen de gebruiker weet), bezit (iets wat alleen de gebruiker heeft) en inherente eigenschap (iets wat alleen de gebruiker is) en die onderling onafhankelijk zijn, in die zin dat compromittering van één ervan geen afbreuk doet aan de betrouwbaarheid van de andere en die zodanig is opgezet dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd".
Deze Betalingsrichtlijn werd vooreerst omgezet in de 'Wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld, de toegang tot het bedrijf van de betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen', waarvan artikel 47 § 1 bepaalt:
"De betalingsinstellingen voorzien in sterke cliëntauthenticatie indien een betaler: 1° zich online toegang tot zijn betaalrekening verschaft;
2° een elektronische betalingstransactie initieert;
3° via een communicatiemiddel op afstand een verrichting uitvoert die een risico op betalingsfraude of andere vormen van misbruik of bedrog met zich kan meebrengen."
De Gedelegeerde Verordening (EU) 2018/389 van 27 november 2017 legde in dit verband technische reguleringsnormen vast.
In de preambule/overwegingen werd desbetreffend bepaald:
"Elektronische betaaldiensten dienen op een beveiligde wijze te worden uitgevoerd, met gebruikmaking van technologieën die de veilige authenticatie van de gebruiker kunnen garanderen en het risico op fraude zo veel mogelijk kunnen beperken (... ).
Aangezien fraudemethoden voortdurend veranderen, dienen de eisen inzake strenge cliëntauthenticatie ruimte te laten voor innovatie bij de technische oplossingen die een antwoord moeten bieden voor de opkomst van nieuwe bedreigingen voor de veiligheid van elektronische betalingen."
Artikel 4.1 van deze Gedelegeerde Verordening bepaalt:
"Authenticatiecode
Wanneer betaaldienstverleners in overeenstemming met artikel 97 lid 1, van Richtlijn (EU) 2015/2366 sterke cliëntauthenticatie toepassen, is deze gebaseerd op twee of meer elementen die als kennis, bezit en inherentie worden gekwalificeerd en die resulteren in het genereren van een authenticatiecode.
De authenticatie wordt pas door de betaaldiensiterlener geaccepteerd wanneer de betaler de authenticatiecode gebruikt om online toegang te verkrijgen tot zijn betaalrekening, om een elektronische betalingstransactie te initiëren of om via een communicatiemiddel op afstand een handeling uit te voeren die een risico op betalingsfraude of andere vormen van misbruik kan meebrengen ( ... ) ."
Artikel 25 1 en 2, c) ii van deze verordening bepaalt:
"Levering van beveiligingsgegevens en authenticatieapparatuur en -software
1. Betaaldienstverleners zorgen ervoor dat de levering van persoonlijke beveiligingsgegevens en authenticatieapparatuur en -software aan de betaaldienstgebruiker op een veilige manier verloopt die de risico's helpt te voorkomen die zijn verbonden aan het ongeoorloofde gebruik ervan als gevolg van verlies, diefstal of kopiëren.
2. Voor de toepassing van lid 1 passen betaaldienstverleners ten minste elk van de volgende maatregelen toe:
( ... )
c) regelingen die ervoor zorgen dat, wanneer de levering van persoonlijke beveiligingsgegevens plaatsvindt buiten de bedrijfsruimten van de betaaldiensten of via een communicatiemiddel op afstand:
ii) de geleverde persoonlijke beveiligingsgegevens en authenticatieapparatuur of-software moeten worden geactiveerd voordat ze kunnen worden gebruikt ( ... )."
De Betalingsrichtlijn werd verder voor wat het privaatrechtelijke aspect omgezet in het WER, waaruit geïntimeerden subjectieve rechten kunnen putten.
Artikel 1.9, 11° WER definieert het begrip 'authenticatie' als volgt:
"een procedure waarmee een betalingsdienstaanbieder de identiteit van een betalingsdienstgebruiker dan wel de validiteit van het gebruik van een specifiek betaalinstrument kan verifiëren, het gebruik van de persoonlijke beveiligingsgegevens van de betalingsdienstgebruiker inbegrepen."
Artikel 1.9, 33/16° WER definieert het begrip 'sterke cliëntauthenticatie' conform aan de Betalingsrichtlijn als volgt:
"authenticatie met gebruikmaking van twee of meer factoren die worden aangemerkt als "kennis" (iets wat alleen de gebruiker weet), "bezit" (iets wat alleen de gebruiker heeft) en "inherente eigenschap" (iets wat de gebruiker is) en die onderling onafhankelijk zijn, in die zin dat compromittering van één ervan geen afbreuk doet aan de betrouwbaarheid van de andere en die zodanig is opgezet dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd."
Artikel Vll-44 § 2 WER bepaalt:
"Wanneer de betalingsdienstaanbieder van de betaler geen sterke clientauthentificatie verlangt, draagt de betaler geen eventuele financiële verliezen, tenzij de betaler frauduleus heeft gehandeld."
De betalingsdienstaanbieder kan aan de hand van de verklaringen van de betaler en van haar logbestanden dat de in artikel Vll-44 § 2 WER geregelde hypothese, waarin de betalingsdienstaanbieder van de betaler geen sterke clientauthenticatie verlangt, zich niet voordeed.
Te dezen was voor de betalingstransacties was een pincode vereist (dit is het kenniselement, iets wat alleen de gebruiker weet) evenals een bankkaart (dit is het bezitselement, iets wat alleen de gebruiker heeft), zonder welke twee onderling onafhankelijke authenticatielementen de betwiste transacties geen doorgang konden vinden.
Bijkomend diende te dezen nog gebruik te worden gemaakt van een kaartlezer en was voor het finaliseren van de transacties naar rekeningen van derden - na tussenkomst van de fraudetool - nog een bijkomende smscode vereist om de geplande betaling (met opgave van bedrag en rekeningnummer) te valideren.
Noch artikel Vll.44 § 2 WER noch de Gedelegeerde Verordening 2018/389 van 27 november 2017 schrijven voor op welke wijze de activatie in de zin van artikel 25 2, c) ii van de Gedelegeerde Verordening dient te verlopen.
Artikel Vll-44 § 1 eerste lid WER bepaalt:
"In afwijking van artikel Vif.43 draagt de betaler tot aan de kennisgeving verricht overeenkomstig artikel Vll.38, § 1,2°, het verlies tot een bedrag van ten hoogste 50 euro met betrekking tot alle niet-toegestane betalingstransacties die voortvloeien uit het gebruik van een verloren of gestolen betaalinstrument of uit het onrechtmatig gebruik van een betaalinstrument."
Artikel Vll.44 §1,tweede lid, 1° WER bepaalt:
"In afwijking van het eerste lid, draagt de betaler geen enkel verlies indien:
1° het verlies, de diefstal of het onrechtmatig gebruik van een betaalinstrument niet kon worden vastgesteld door de betaler voordat een betaling plaatsvond, tenzij de betaler zelf frauduleus gehandeld heeft ( ...) ."
Geïntimeerden beroepen zich niet op artikel Vll-44 §,,tweede lid, 1° WER, nu zij in hun vordering een bedrag van 50,00 EUR in mindering brengen.
Artikel Vll.44 §1,vierde lid WER bepaalt:
"De betaler draagt alle verliezen in verband met niet-toegestane betalingstransacties indien de betaler deze heeft geleden doordat hij frauduleus heeft gehandeld of opzettelijk of door grove nalatigheid één of meer van de in artikel Vll.38 genoemde verplichtingen niet is nagekomen. In die gevallen is het in de eerste alinea bedoelde maximumbedrag niet van toepassing."
Artikel Vll.38 WER bepaalt:
"§1 De betalingsdienstgebruiker die gemachtigd is een betaalinstrument te gebruiken, voldoet aan de volgende verplichtingen:
1° hij gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn ( ... );
2° wanneer hij zich rekenschap geeft van het verlies, de diefstal, het onrechtmatig gebruik of het niet-toegestane gebruik van het betaalinstrument, stelt hij de betalingsdienstaanbieder of de door laatstgenoemde aangeduide entiteit daarvan onverwijld in kennis.
§ 2 Voor de toepassing van paragraaf 1, 1 °, neemt de betalingsdienstgebruiker, zodra hij een betaalinstrument ontvangt, in het bijzonder alle redelijke maatregelen om de veiligheid van het betaalinstrument en de persoonlijke beveiligingsgegevens ervan te waarborgen."
Artikel Vll-44 § 4 WER bepaalt:
"De bewijslast inzake bedrog, opzet of grove nalatigheid komt aan de betalingsdienstaanbieder toe.
( ... )
Wat de beoordeling van de nalatigheid betreft, houdt de rechter rekening met het geheel van de feitelijke omstandigheden."
Het begrip 'grove nalatigheid' werd niet wettelijk gedefinieerd. Wel geeft de wet in artikel Vll-44 § 4, tweede lid WER als volgt - op niet exhaustieve wijze - enkele gevallen van grove nalatigheid weer:
"Onverminderd de toepassing van het derde lid, worden onder andere beschouwd als grove nalatigheid zoals bedoeld in§ 1, het feit, voor de betaler, zijn gepersonaliseerde veiligheidsgegevens, zoals zijn identificatienummer of enig andere code in een gemakkelijk herkenbare vorm te noteren, en met name op het betaalinstrument of op een voorwerp of een document dat de betaler bij het instrument bewaart of met dat instrument bij zich draagt, alsook het feit van de betalingsdienstaanbieder, of de door laatstgenoemde aangeduide entiteit, niet onverwijld in kennis te hebben gesteld van het verlies of de diefstal overeenkomstig artikel V//.38 § 1,2°."
Een loutere onzorgvuldigheid of nalatigheid volstaat dan ook niet om tot een grove nalatigheid te besluiten.
Integendeel dient er sprake te zijn van een zware fout, een onvergeeflijke nalatigheid of een aanzienlijke mate van onvoorzichtigheid, dermate excessief dat dit niet begrijpbaar is voor een redelijk persoon.
De beoordeling van de grove nalatigheid dient te gebeuren aan de hand van het abstract criterium van een normaal, zorgvuldig en vooruitziend betaler, geplaatst in dezelfde concrete omstandigheden.
a) Waar sprake is van het nemen van 'alle redelijke maatregelen' wordt aan de betalingsdienstgebruiker een inspanningsverbintenis opgelegd.
De persoonlijke beveiligingsgegevens worden als volgt gedefinieerd in artikel 1.9, 33/17° WER: "voor doeleinden van authenticatie door de betalingsdienstaanbieder aan een betalingsdienstgebruiker verstrekte gepersonaliseerde kenmerken."
Het zijn gegevens aan de hand waarvan de betalingsdienstgebruiker geauthentiseerd kan worden, zoals een unieke identificatiecode, die door de betalingsdienstaanbieder die de rekening van de gebruiker beheert, verstrekt wordt (zie MvT, Parl.St. Kamer, nr. 54- 3131/001, 12), zoals een pincode, een door een kaartlezer gegenereerde responsecode of een door de bank doorgegeven sms-code.
Het telefonisch doorgeven van een geheime SMS code aan een fraudeur kan aanzien worden als een grove nalatigheid.
Het reageren op een bewering van een fraudeur dat er gelden verdwenen zijn van hun rekening zonder verificatie van hun rekening kan aanzien worden als een grove nalatigheid.
Een normaal, zorgvuldig en vooruitziend betaler, geplaatst in dezelfde concrete omstandigheden behoort nochtans het gevaar van het telefonisch doorgeven van codes te kennen en te weten dat zogenaamde verdachte transacties niet geannuleerd kunnen worden door het valideren van betalingen naar onbekende rekeningnummers van onbekende begunstigden.