De veiligheid van betaalkaarten en hoe (onbeperkte) aansprakelijkheid te vermijden

Voorzichtigheid bij het gebruik en de bewaring van een betaalinstrument zou een evidentie moeten zijn, ongeacht wie uiteindelijk de rekening betaalt voor het misbruik van een verloren, gestolen of gekopieerd betaalinstrument. In een eerder bericht op deze blog werd al aangegeven dat deze voorzichtigheid onder meer betrekking heeft op het betaalinstrument zelf (het is niet de bedoeling dat bv. kaarten zomaar onbeheerd worden achtergelaten worden of voor het grijpen liggen) en op de gepersonaliseerde veiligheidskenmerken (zo is het aan de gebruiker om de PIN-code geheim te houden). Daarbij werd gewezen op de mogelijkheid om de gebruiker onbeperkt aansprakelijk te houden voor de opgelopen verliezen indien die gebruiker een grove nalatigheid kan worden verweten. Het doel van dit bericht is om met twee recente voorbeelden te verhelderen wat daaronder precies verstaan wordt. 

Aansprakelijkheidsregeling bij verloren en gestolen betaalinstrumenten

Kort samengevat, is de regeling van de aansprakelijkheid bij een verloren of gestolen betaalinstrument t.a.v. consumenten de volgende (artikel 37 Wet betalingsdiensten):

  • Vanaf de kennisgeving van verlies of diefstal is de consument in principe niet meer aansprakelijk voor verder onrechtmatig gebruik van de kaart;
  • Voor de kennisgeving van verlies of diefstal draagt de consument het verlies tot een bedrag van ten hoogste 150 euro voor niet-toegestane betaalinstructies (de grens van 150 euro kan contractueel ook verlaagd of tot nul herleid worden);
  • Voor de kennisgeving van verlies of diefstal draagt de consument alle verliezen die voortvloeien uit niet-toegestane betalingen als die zich hebben voorgedaan doordat de consument met grove nalatigheid één van de verplichtingen genoemd in artikel 31 Wet betalingsdiensten niet is nagekomen (onder meer: alle redelijke maatregelen nemen om de veiligheid van de kaart en de PIN-code te waarborgen).

Ten aanzien van niet-consumenten kan van deze regeling worden afgeweken.

Grove nalatigheid bij de veilige bewaring van een betaalinstrument

Artikel 31 §2 Wet betalingsdiensten bevat de verplichting voor de houder om de redelijke voorzorgsmaatregelen te treffen om de veiligheid van het betaalinstrument alsook van de middelen die het gebruik ervan mogelijk maken, te verzekeren. In het licht van deze verplichting oordeelde het Bemiddelingscollege op 15 januari 2013 (advies 2012.1827) dat er sprake is van een grove nalatigheid wanneer een kaarthouder zijn jas met daarin zijn portefeuille met volledige inhoud, waaronder een debetkaart en twee kredietkaarten, onbeheerd achterlaat in het bagagerek in een trein. Dit oordeel geldt ook wanneer de echtgenote van de kaarthouder nog in de trein blijft zitten omdat zij evenmin controle kon uitoefenen op die jas.

Onvoorzichtigheid aangaande de keuze van de geheime code

In datzelfde advies van 15 januari 2013 was nog een andere vraag naar grove nalatigheid aan de orde, meer bepaald met betrekking tot de keuze van de geheime code. Het Bemiddelingscollege oordeelde dat het feit dat de geheime code van de debetkaart en de kredietkaarten van de kaarthouder bestaan uit een deel van de geboortedatum geen grove nalatigheid uitmaakt “omdat op basis van een acht cijfers tellende geboortedatum er verschillende combinaties mogelijk zijn om tot een geheime code van vier cijfers te komen”.  Het Bemiddelingscollege wijst er echter wel op dat de keuze voor een dergelijke geheime code geen aanbeveling verdient en het frauduleuze gebruik van de kaarten vergemakkelijkt heeft in het voorgelegde geval. Dit leidt het college af uit de omstandigheid dat de kaartdieven bij de eerste respectievelijk de tweede poging de juiste geheime code  intikten.

Daarnaast merkt het Bemiddelingscollege op dat het feit dat een kaarthouder dezelfde geheime code kiest voor zijn debetkaart en voor zijn twee kredietkaarten bewezen moet worden én dat zelfs indien dit bewezen zou worden, dit op zichzelf geen grove nalatigheid uitmaakt. Het Bemiddelingscollege stelt slechts dat dit af te raden is. Mogelijks zou dit m.i. wel een grove nalatigheid kunnen uitmaken indien het gebeurt in combinatie met andere elementen (bv. een heel eenvoudige geheime code zoals ‘0000’ of ‘1234’).

In een ander advies van 15 januari 2013 (advies 2012.1194) oordeelde het Bemiddelingscollege dat er geen sprake is van grove nalatigheid indien de betalingsdienstgebruiker (lees: in veel gevallen de consument) de eerste vier cijfers van zijn geboortedatum hanteert als geheime code. Het Bemiddelingscollege noemt deze keuze wel onvoorzichtig, maar dat volstaat nog niet om te spreken van een grove nalatigheid. De houder van het betaalinstrument ziet het verlies waarvoor hij zelf moet instaan daardoor verminderd van 2.020 naar 150 euro.

In de aangehaalde beslissingen van het Bemiddelingscollege mag alleszins geen vrijgeleide gelezen worden om te kiezen voor geheime codes die voor de hand liggen:

  • Ten eerste omdat zelfs in de hypothese dat de aansprakelijkheid beperkt wordt, de houder nog wel aansprakelijk is ten belope van 150 euro;
  • Ten tweede omdat van de kaarthouder kan verwacht worden dat hij zelf de mogelijke aansprakelijkheid van zijn betalingsdienstaanbieder tot een minimum beperkt;
  • Ten derde omdat het niet uitgesloten is dat de keuze voor een te voor de hand liggende code in bepaalde gevallen wel een grove nalatigheid zal uitmaken. Mogelijks is dat het geval wanneer de consument bijvoorbeeld kiest voor de code 0000 terwijl de betalingsdienstaanbieder uitdrukkelijk vraagt om niet te kiezen voor vier gelijke cijfers als geheime code.

De houder van een betaalinstrument dient dan ook los van de vraag naar de eventuele grove nalatigheid de grootste voorzichtigheid te betrachten bij de keuze van de geheime code.

Andere adviezen van het Bemiddelingscollege kan u raadplegen op
de website van de Bemiddelingsdienst Banken – Krediet – Beleggingen.

Frauduleus gebruik betaalkaart: wie betaalt de rekening?

De houder van een bankkaart of een kredietkaart moet met de nodige voorzichtigheid omspringen met dit betaalinstrument. Het is uiteraard niet de bedoeling dat deze kaarten zomaar onbeheerd worden achtergelaten of voor het grijpen liggen. De PIN-code is persoonlijk en moet worden geheimgehouden (gepersonaliseerde veiligheidskenmerken). Loopt het toch fout en kan de houder van de kaart een grove nalatigheid verweten worden, dan is hij in principe onbeperkt aansprakelijk voor de opgelopen verliezen. Maar wat is een grove nalatigheid en hoe wordt die aangetoond? Een voorbeeld.

Basisregel

Sterk vereenvoudigd komt de regeling van de aansprakelijkheid bij een verloren of gestolen betaalinstrument t.a.v. consumenten hierop neer (artikel 37 Wet betalingsdiensten):

  • Vanaf de kennisgeving van verlies of diefstal is de consument in principe niet meer aansprakelijk voor verder onrechtmatig gebruik van de kaart;
  • Voor de kennisgeving van verlies of diefstal draagt de consument het verlies tot een bedrag van ten hoogste 150 euro voor niet-toegestane betaalinstructies (de grens van 150 euro kan contractueel ook verlaagd of tot nul herleid worden);
  • Voor de kennisgeving van verlies of diefstal draagt de consument alle verliezen die voortvloeien uit niet-toegestane betalingen als die zich hebben voorgedaan doordat de consument met grove nalatigheid één van de verplichtingen genoemd in artikel 31 Wet betalingsdiensten niet is nagekomen (onder meer: alle redelijke maatregelen nemen om de veiligheid van de kaart en de PIN-code te waarborgen).

Ten aanzien van niet-consumenten kan van deze regeling worden afgeweken.

Voorbeeld van grove nalatigheid

Wanneer is er dan sprake van een grove nalatigheid? De Wet betalingsdiensten noemt zelf al als voorbeeld ‘het feit, vanwege de betaler, zijn gepersonaliseerde veiligheidskenmerken, zoals een identificatienummer of enige andere code in een gemakkelijk herkenbare vorm te noteren, en met name op het betaalinstrument, of op een voorwerp of een document dat de betaler bij het instrument bewaart of met dat instrument bij zich draagt’. Hoewel er discussie over kan bestaan of het wel aan de wetgever toekwam om voorbeelden van grove nalatigheid te geven, wordt vrij algemeen aanvaard dat het bewaren van een PIN-code op of bij de betaalkaart een voorbeeld van grove nalatigheid is.

Bewijs van grove nalatigheid

De bewijslast inzake grove nalatigheid rust op de betalingsdienstaanbieder. De vraag is dan uiteraard hoe die kan bewijzen dat de consument (betaler) de PIN-code op of bij de betaalkaart heeft bewaard. Per hypothese is de betaalkaart immers gestolen en vindt men die betaalkaart en de documenten die erbij werden bewaard nooit terug. Rechtspraak (en in ieder geval gepubliceerde rechtspraak) hierover is eerder zeldzaam, maar de adviezen van het ‘Bemiddelingscollege Banken – krediet – beleggingen’ vullen die leemte. Deze adviezen zijn niet bindend, maar geven wel interessante inzichten. Zo oordeelde het Bemiddelingscollege vorig jaar nog in een advies dat gewichtige, bepaalde en overeenstemmende vermoedens kunnen volstaan als bewijs van het feit dat de code op of bij de betaalkaart werd bewaard. In het voorgelegde geval betrof het een diefstal waarbij de dief van bij de tweede poging de correcte geheime code had ingetikt. Het laatste legitieme gebruik dat de consument had gemaakt van de betaalkaart dateerde van de dag voordien, wat volgens het Bemiddelingscollege de mogelijkheid uitsluit dat de consument vóór de diefstal, tijdens een legitiem gebruik van de bankkaart, door de dief zou zijn bespied waardoor deze de geheime code kon achterhalen.

Andere adviezen van het Bemiddelingscollege kan u raadplegen op
de website van de Bemiddelingsdienst Banken – Krediet – Beleggingen.

Overeenkomsten op afstand: website is geen duurzame drager of toch niet altijd

In een arrest van 5 juli 2012 oordeelde het Hof van Justitie dat een gewone internetsite geen ‘duurzame drager’ is in de zin van artikel 5, lid 1 van richtlijn 97/7/EG. Een onderneming actief in bv. de verkoop via internet zal moeten kiezen voor andere middelen om de informatie aan de consument te verstrekken, zoals via e-mail of sms, op USB-stick of memory card. Het Hof doet echter geen uitspraak over zogenaamde ‘geavanceerde’ websites.

Een gewone website is geen duurzame drager

Artikel 46 §1 van de Wet Marktpraktijken verplicht de onderneming  in het kader van een overeenkomst op afstand tot bevestiging van een aantal gegevens aan de consument, waarbij die onderneming de keuze heeft om dit schriftelijk of op een duurzame drager te doen. Deze verplichting is gebaseerd op artikel 5, lid 1 van richtlijn 97/7 betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten. Het Hof van Justitie heeft in het recente arrest van 5 juli 2012 onderzocht of een internetsite kan beschouwd worden als een ‘duurzame drager’. Het Hof oordeelde dat een duurzame drager veronderstelt (1) dat de consument de aan hem persoonlijk gerichte informatie kan opslaan, (2) dat gewaarborgd wordt dat de inhoud ervan niet wordt gewijzigd, (3) dat de informatie gedurende een passende termijn toegankelijk is en (4) dat de drager consumenten de mogelijkheid biedt om de informatie ongewijzigd weer te geven. Een gewone website biedt deze garanties niet, onder meer omdat een verkoper de inhoud ervan eenzijdig kan wijzigen.

Geen uitsluitsel over ‘geavanceerde’ websites

Het Hof van Justitie heeft echter niet gezegd dat een website nooit een duurzame drager kan zijn. Volgens één van de bij het geding betrokken partijen bestaan er immers ‘geavanceerde’ websites die wel de vereiste garanties bieden. Omdat de website die in het geding aan de orde was geen dergelijke geavanceerde website was, heeft het Hof van Justitie hierover geen uitspraak gedaan. Dit wil zeggen dat het Hof niet heeft uitgesloten dat een website inderdaad de nodige garanties kan bieden en dus een duurzame drager kan zijn.

Belang overstijgt verkoop op afstand

De prejudiciële vraag waarop het Hof antwoordde, betrof de uitlegging van Richtlijn 97/7/EG, maar het concept ‘duurzame drager’ komt ook in andere Europese wetgeving terug, zoals de Richtlijn betalingsdiensten (PSD),
de Richtlijn consumentenkrediet (CCD) en
de Richtlijn verzekeringsbemiddeling. Er is geen reden om aan te nemen dat het concept ‘duurzame drager’ in deze Richtlijnen een andere betekenis zou hebben en bijgevolg is het arrest ook voor de uitlegging van deze richtlijnen van belang.

De zaak is bij het Hof van Justitie bekend onder het nummer C-49/11 en het arrest kan worden geraadpleegd op de website van het Hof.

Op deze blog verscheen enkele weken geleden ook al een korte bijdrage met betrekking tot websites (specifiek m.b.t. de vraag waar de informatie op een website vermeld moet worden) en een bijdrage over de impact van de Richtlijn consumentenrechten op de verplicht te vermelden informatie bij verkoop op afstand en overeenkomsten gesloten buiten de verkoopruimten van de onderneming.