geacht BIN-lid,
beste,
Phishing en cybercriminaliteit zijn ook in onze politiezone tot zowat de meest voorkomende vorm van criminaliteit gerworden. Het is duidelijk dat de daders alsmaar driester en geraffineerder te werk gaan, waardoor ondertussen iedereen gevaar loopt. Door de technische evolutie zijn fraude en werkelijkheid steeds moeilijker van te onderscheiden.
Om phishing te voorkomen verwijzen we graag naar de websites en informatie die uw banken of de overheidsdiensten hierover verstrekken. Bij die preventiecampagnes worden consumenten steeds gewaarschuwd voor een (beperkt) aantal vormen van phishing. Desondanks blijft het aantal gevallen en slachtoffers van phishing toenemen, waardoor de vraag rijst of deze preventiecampagnes voldoende relevant zijn. Bovendien blijft wie gephisht wordt vaak verweesd, onbeschermd en slecht geïnformeerd achter. De realiteit is dat politie en gerecht er een erg ruim seponeringsbeleid op na houden waardoor weinig strafklachten tot effectieve vervolging van de daders leiden. Laat dit u niet ontmoedigen.
U BENT GEPHISHT – WAT NU
Om slachtoffers in de mate van het mogelijke niet in de kou te laten geven we hier een aantal suggesties die u als slachtoffer kunt aanwenden of toepassen om enerzijds uw klachten correct en volledig te laten registreren en anderzijds om uw centen terugbetaald te krijgen van de bank die hier in principe toe verplicht is (Jawel!).
– Hou er rekening mee dat phishing een zware emotionele en psychologische impact kan hebben en kan leiden tot een verlaagd eigenwaardegevoel, depressie enz.. Het kan mede een oplossing zijn steun te zoeken bij verwanten of medeslachtoffers. Phishing is ondertussen zo verspreid onder alle lagen van de bevolking dat schaamte voor wat gebeurd is, onnodig is.
-In eerste instantie neemt u onmiddellijk contact op met uw bank en volg hun instructies nauwgezet op. Vraag na of de bank u zal vergoeden of niet. Dit kan afhankelijk zijn van de omstandigheden waaronder u werd gephisht.
– Leg onmiddellijk klacht neer bij de politie. Daarbij kan u best zo nauwkeurig mogelijk oplijsten welke stappen u heeft ondergaan bij de phishing. Het tijdsverloop van de feiten is ontzettend belangrijk, maar ook of de dader(s) vooraf beschikken over voorinformatie over uw rekeningstand, spaarvolume, historiek van uw betalingen, financiële contacten, verdiensten, bankrelaties enz… Neem kopie van uw rekeninguittreksels, mails of andere documenten of (telefoon)berichten mee of bezorg ze aan de politie. Houd van alles minstens een exemplaar voor uzelf. U zal deze documenten nodig hebben in uw discussie met de bank en met de ombudsdienst van de financiële sector, Ombudsfin (zie hieronder). Dring gerust aan bij de verbalisant dat alle omstandigheden waaronder de phishing plaatsvond, worden genoteerd.
– Kopie van het procesverbaal van uw klacht dient u onmiddellijk te bezorgen aan uw bank, maar houd minstens een kopie voor uzelf. Dit document is noodzakelijk in geval van aangifte aan uw verzekeraar of in de discussie voor de ombudsdienst.
-Kijk na of u voor een discussie met de bank beroep kan doen op een verzekering rechtsbijstand. Mensen zijn soms verzekerd voor dit soort van geschillen en schadegevallen, zonder zich hier bewust van te zijn. Indien verzekerd, kan u beroep doen op de diensten van een advocaat naar uw keuze, zij het binnen bepaalde financiële limieten.
-Als de bank niet tot terugbetaling overgaat dient u de bank schriftelijk, per mail of aangetekend aan te manen tot terugbetaling van wat gephisht werd. Met dat schrijven dient u de bank te vragen de stukken over te maken die haar standpunt ondersteunen en meer
bepaald de log verrichtingen betreffende de frauduleuze betalingen over te maken (zie model in bijlage). Op die manier wordt de bank verplicht schriftelijk haar weigering te motiveren.
Als de bank negatief of niet antwoordt binnen de maand kan u beroep doen op Ombudsfin.
-Als de bank u niet (volledig) terugbetaalt, kan u zich wenden tot Ombudsfin, die uw klacht zullen beoordelen op (on)ontvankelijkheid en gegrondheid en die na de versie van de bank te hebben gehoord, hun advies kunnen overmaken. Opgelet, 75% van de klachten worden onontvankelijk verklaard vb. omdat de klacht niet eerst aan de klachtendienst van de bank werd overgemaakt. De bankreglementen voorzien minstens in een aantal gevallen dat klachten zowel kunnen worden overgemaakt aan het plaatselijk kantoor als aan de hoofdzetel. In een ons gekend geval volstond die melding aan ombudsfin om nog diezelfde dag een intrekking van de onontvankelijkheid te bekomen. Laat u niet te snel afschepen, ombudsfin is een privaat VZW, met enkel financiële instellingen in haar bestuursorganen en dus geen onafhankelijk orgaan.
-Bij het ‘onderzoek’ door ombudsfin neemt deze dienst niet altijd een onafhankelijk standpunt in en o.m. een arrest van het hof van beroep stelde vast dat bij dit onderzoek zelfs geen stukken werden opgevraagd of nagekeken bij de bank waardoor met het negatieve eindadvies geen rekening kon worden gehouden.
-Bij negatief advies van ombudsfin dient u te oordelen of u tot gerechtelijke terugvordering wenst over te gaan. Van belang daarbij is of de bank u de logbestanden bezorgde van de financiële verrichtingen. Die kunnen en zullen doorslaggevend zijn als er discussie bestaat tussen de feiten versie van de bank en wat u zelf ervaren heeft.
Het uitlezen van de logbestanden vergt aandachtige lezing, maar is niet noodzakelijk werk voor experten. Die bestanden behandelen datum, bedrag, opdrachtgever, bestemmeling, bedrag, toestel waarmee de betaling is gebeurd, of de betaling is ‘geauthenticeerd’ met codes enz..
-Belangrijk is te weten dat u niet noodzakelijk over stukken moet beschikken die de verantwoordelijkheid van de bank bewijzen. De wet voorziet namelijk dat ingeval van discussie de bank het bewijs moet leveren van uw zware nalatigheid en/of opzettelijke medewerking bij het misdrijf. Slaagt de bank hier niet in, dan voorziet de wet dat u recht hebt op terugbetaling.
Bij de beoordeling is belangrijk te weten of u toestemming hebt gegeven voor de frauduleuze bankverrichtingen. Het is niet omdat u codes hebt doorgegeven dat u toestemming hebt gegeven. De omstandigheden waaronder deze codes werden doorgegeven aan de phishers zijn belangrijk. Er kan geen toestemming zijn indien u na het overhandigen van de codes geen zicht of kennis hebt over wat met die codes gebeurt. Veel hangt af van wat u gedaan hebt om na vaststelling van de phishing erger te voorkomen. Dat geldt echter ook voor de bank die in een procedure zal moeten aantonen dat zij alles in het werk heeft gesteld om de frauduleuze betaling te verhinderen of te schorsen. De bewijslast ligt bij de bank omdat zij als enige beschikt over de nuttige gegevens met betrekking tot de fraude.
-In het licht hiervan dient opgemerkt dat geen enkele bank informatie verschaft over de hackings die er zijn geweest van de gegevens van haar cliënteel en die noodzakelijke voor informatie bevatten voor het plegen van de fraude.
-Een eventuele procedure kan een jaar tot enkele jaren aanslepen. Wat dat betreft valt te melden dat de Antwerpse rechtbanken en hoven vandaag de dag een bijzonder vlotte gerechtelijke afhandeling betrachten en bereiken. De plaats waar uw rechtszaak wordt ingeleid kan bepalend zijn voor een vlotte afhandeling.
ELEMENTEN DIE KUNNEN WIJZEN OP DE AANSPRAKELIJKHEID VAN DE BANK
Bij phishing wordt door de fraudeurs vaak gebruik gemaakt van informatie die niet noodzakelijk door de slachtoffers wordt meegegeven, maar die bekomen is door het hacken van uw gegevens bij de bank, of bij een andere dienstverlener, zoals betaalautomaat, reisagentschap, webwinkel… Die voorafgaande diefstal van gegevens is niet uw fout, maar is toe te schrijven aan gebrekkige systeembeveiligingen bij de betrokken instanties. In vele gevallen kunnen de logbestanden waarover de bank beschikt uitsluitsel bieden.
De Europese Commissie heeft in een ‘gedelegeerde verordening’ verduidelijkt welke verrichtingen die door een bank worden geregistreerd, als ‘verdacht’ kunnen worden beschouwd. Banken zijn verplicht deze te monitoren en zullen moeten reageren bij een verdacht karakter.
-Banken hebben een informatieverplichting. In feite zouden ze de klant moeten verwittigen indien die door een voorafgaande hacking bij de bank verhoogd risico loopt. Er zijn ons geen gevallen bekend waarin de bank hiertoe overgaat.
Kunnen volgens de EU-commissie elementen zijn van verdachte verrichtingen:
-abnormale uitgaven of abnormaal gedragspatroon van de betaler;
-ongebruikelijke informatie over de apparaat-/softwaretoegang van de betaler. Zowel de apparaten van de bank cliënt als de verrichtingen die er mee worden uitgevoerd hebben een eigen herkenbare code.
-een malware infectie in elke sessie van de authenticatieprocedure;
-een bekend fraude scenario bij het leveren van de betalingsdiensten;
-een abnormale locatie van de betaler;
-een hoog-risico locatie van de begunstigde.
De bank moet al deze risicofactoren combineren tot een risicobeoordeling van elke transactie afzonderlijk. Bij vaststelling is de bank in feite verplicht de transactie te schorsen tot er duidelijkheid komt.
Banken zijn verplicht uiterst beveiligde procedures te hanteren en het gebruik van de veiligheidsprocedures mogelijk te maken in een veilige omgeving.
De bank moet effectieve en veilige levering procedures hanteren voor apparaten en beveiligingsgegevens (vb. geen codes toezenden per mail of gsm-bericht, geen gebruik van muurbetaalautomaten buitenzijde, …).
De banken moeten ervoor instaan dat dit alles kan gemonitord worden en dat daarvan in geval van discussie stukken voorbrengen. Deze stukken kunnen worden opgevraagd per aangetekende brief of per mail. Voorbeeld brief aan de bank, na phishing, vindt je onderaan as in bijlage 1.
Voor verdere inlichtingen kan u ons contacteren, maar voor concrete dossierbehandeling gelieve u te wenden tot 1. Uw bank, 2. Politie; 3. Verzekeraar rechtsbijstand en eventueel advocaat; 4. Ombudsfin; 5.dagvaarding rechtbank en eventueel hof van beroep.
Bijlage
VOORBEELD BRIEF AAN DE BANK NA PHISHING
Geachte heer/mevrouw,
Betreft: phishing op (datum) op rekening nr. ……
Op (datum) werd ik slachtoffer van phishing op mijn rekening(en) nrs. ….
(rekeningnummers) waarbij volgende bedragen van mijn rekening werden ontvreemd
… (overzicht frauduleuze verrichtingen op uw rekeningen).
Gelieve mij op de hoogte te houden van de terugvorderingsstappen die …(naam uw
bank) ondernam en onderneemt met het oog op recuperatie van de verdwenen
gelden.
De gelden werden overgeschreven naar een rekeningnummer van de voor mij
onbekende begunstigde …(naam).
Ik betwist formeel ooit toestemming te hebben gegeven voor deze overschrijvingen.
Deze zijn uitgevoerd door een derde, zonder dat ik kennis had van het
overgeschreven bedrag, het doel en de bestemmeling.
(Of: als u de betalingen uitvoerde na misleiding door de fraudeur: “Deze zijn door mij
uitgevoerd na oplichting hiertoe door een onbekende”).
Gelieve overeenkomstig de Wet (boek VII van het Wetboek van Economisch Recht)
de bedragen onverwijld te vergoeden of gemotiveerd te bewijzen waarom de bank dit
weigert.
(Eventueel: grondige weergave van de feiten in chronologische volgorde. Elke stap is
belangrijk!)
Gelieve een volledig lograpport (tijdstippen, IP’s, apparaat-ID’s, bedragen,
bestemmeling, unieke referentienummers verrichtingen..) over te maken.
Gelieve tevens te bevestigen of het fraudedetectiesysteem heeft gefunctioneerd en
welke gevolgen aan de fraudemelding werden gegeven.
Graag uw schriftelijk antwoord en dossiernummer vandaag nog.
Dank bij voorbaat voor uw berichten.
Vriendelijke groeten
(uw naam, eventueel adres en Tel.)