Een klant van International Card Services (ICS) krijgt geen vergoeding voor de ruim 9.000 euro schade die hij opliep na een phishingaanval. Dat heeft het Klachteninstituut Financiële Dienstverlening (Kifid) besloten. Het slachtoffer ontving eind vorig jaar een e-mail die afkomstig leek van Netflix, waarin hij werd verzocht zijn creditcardgegevens bij te werken.

Phishing via nep-Netflixmail
De klant vulde op een vervalste website zijn creditcardnummer, vervaldatum, CVC-code en een sms-verificatiecode in, waarna fraudeurs de kaart koppelden aan Apple Pay. Binnen een dag werden zeven transacties uitgevoerd, samen goed voor meer dan 9.200 euro. Het fraudemonitoringssysteem van ICS detecteerde de betalingen, waarna de creditcard werd geblokkeerd en de klant werd gebeld.

Diezelfde dag ontving de klant echter een e-mail van ICS waarin stond dat er géén transacties waren uitgevoerd. De klant eiste later een schadevergoeding, omdat hij onjuist was geïnformeerd en zich niet bewust was van de fraude. Hij stelde dat de phishingwebsite zeer overtuigend was en dat meerdere ICS-klanten rond diezelfde tijd slachtoffer werden van vergelijkbare aanvallen – wat volgens hem wijst op een structureel beveiligingsprobleem bij ICS.

ICS erkent fout in communicatie, maar wijst aansprakelijkheid af
ICS gaf toe dat een medewerker per ongeluk de optie "geen schade" had aangevinkt, waardoor de misleidende e-mail werd verstuurd. Toch oordeelde Kifid dat dit geen reden was voor vergoeding, omdat de schade al was ontstaan voordat ICS contact opnam.

Daarnaast stelde Kifid dat de klant "grof nalatig" had gehandeld door zijn gegevens af te staan. "Banken en financiële instellingen waarschuwen al jaren voor phishing," benadrukte het instituut. "Dat deze specifieke Netflix-fraude nieuw was, betekent niet dat ICS onvoldoende heeft gewaarschuwd." Ook wees Kifid erop dat de sms-verificatiecode een fraudewaarschuwing bevatte.

Uitspraak: Geen vergoeding voor slachtoffer
Kifid concludeerde dat ICS niet aansprakelijk was en wees de claim van de klant af. Het instituut vond dat de klant zelf verantwoordelijk was voor het doorgeven van zijn gegevens, ondanks de misleidende e-mail van ICS.

Deze zaak onderstreept het belang van waakzaamheid bij online betalingen en het controleren van communicatie van financiële instellingen. Slachtoffers van phishing hebben vaak weinig juridische grond voor vergoeding, tenzij kan worden aangetoond dat de bank tekortschoot in beveiliging of waarschuwingen.

Bronnen: Uitspraak Kifid, verklaring ICS, cybersecurity-experts.