Iedere organisatie krijgt tegenwoordig wel op wekelijkse, zo niet dagelijkse, basis te maken met cybercriminaliteit. Partijen die illegaal en digitaal proberen binnen te dringen.
Dat loopt niet altijd goed af. Heel vaak krijgt een hacker toegang tot een zakelijk e-mailaccount en werkt hij zich van daaruit verder de organisatie in. De hacker doet zich voor als medewerker en verstuurt in die hoedanigheid vervalste facturen met betaalinstructies of illegale afleveradressen naar afnemers.
De Hoge Raad heeft eind mei een interessante uitspraak gedaan over de (juridische) vraag wie het financiële risico draagt wanneer een koper bijvoorbeeld een vervalste factuur betaalt: de koper, de gehackte partij, of beiden? Mag een koper erop vertrouwen dat hij bevrijdend betaalde of niet?
Uitspraak rechter over financiële risico
In het kort komt het erop neer, dat wanneer de koper niet redelijkerwijs hoeft te veronderstellen dat er sprake is van een scam, is het vervolgens voor de verdeling van het financiële risico bepalend of ook aan de gehackte partij kan worden toegerekend dat de wederpartij de betreffende e-mail voor authentiek en onvervalst heeft mogen beschouwen.
Het eerste arrest wat op dit vlak werd gewezen is een arrest genaamd Kamerman/Aro Lease (vindplaats HR 7 februari 1992, ECLI:NL:HR:1992:ZC0489). Van belang is, dat alle omstandigheden een rol spelen zoals bijvoorbeeld, maar niet uitsluitend:
- Zijn er vervalste e-mails afkomstig van het e-mailadres dat ook bij eerdere bestellingen werd gebruikt om facturen of betaalinstructies aan de geadresseerde te verzenden?
- Is het onderwerp van de e-mails vervalt en onvervalst steeds hetzelfde?
- Hoe hebben partijen in het verleden gewerkt? Was er steeds sprake van een vast bankrekeningnummer of niet, of verschilde dat per bestelling?
- Was het gebruikelijk of ongebruikelijk dat (transport)documenten tussentijds door de verkoper werden aangepast of niet?
- Is de opmaak van de facturen steeds in eerdere transacties hetzelfde geweest of niet?
De Hoge Raad heeft in het recente arrest ook beslist dat de rechter tot de conclusie kan en mag (dus niet hoeft) te komen dat het gewekte vertrouwen ook gedeeltelijk kan worden toegerekend aan de ene of de andere partij. Met andere woorden: het risico kan dus tussen de bedrogen partij en de gehackte partij worden gedeeld. Er is niet per definitie dus sprake van een alles of niets aanpak of uitspraak.
Met andere woorden: zowel de koper als de verkoper kunnen een deel van het risico op het bordje krijgen en het is dus zaak dat binnen iedere organisatie er zo goed mogelijk wordt gelet op fraudepogingen en dat al het redelijke wordt gedaan om dit te voorkomen.
Meer informatie over aansprakelijkheid
Bierens Law staat ondernemers bij met hun juridische vraagstukken. Heeft u ook een vraag over aansprakelijkheid en schadevergoeding? Neem dan gerust contact met ons op. Wij helpen u graag verder.