De Commissie van Beroep van Kifid heeft bevestigd dat een bank fraudeschade in beginsel niet hoeft te vergoeden wanneer een slachtoffer van bankhelpdeskfraude zélf het geld overmaakt. Omdat de klant de betaling met eigen codes en instemming verricht, geldt die als een ‘toegestane betaling’ - en daarvoor draagt de bank niet automatisch het risico. De uitspraak betreft twee SNS-klanten die €59.000 verloren.
In de zaak lieten twee consumenten zich tijdens een telefoongesprek met een zogenaamde bankmedewerker overhalen om het programma Quickview te installeren, waarmee de fraudeur kon meekijken in hun internetbankieren. Daarna verhoogden zij zelf hun daglimiet en deden zij met hun Digipas en persoonlijke beveiligingscodes drie overboekingen naar de rekening van een derde bij een andere bank.
Juridisch zijn dat toegestane betalingen: opdrachten die de rekeninghouder zelf en met instemming geeft.
Toegestaan versus niet-toegestaan
Dat onderscheid is bepalend - en verklaart waarom het oordeel anders uitvalt dan veel gedupeerden hopen. De wet, gebaseerd op de Europese betaalrichtlijn PSD2, verplicht een bank om ‘niet-toegestane betalingen’, waarbij een fraudeur zónder toestemming geld wegsluist, in beginsel terug te betalen, tenzij de klant grof nalatig of frauduleus handelde.
Bij toegestane betalingen ligt dat anders: de bank heeft een geldige, door de klant bevestigde opdracht uitgevoerd en is dan niet zonder meer aansprakelijk. Internationaal staat dit type oplichting bekend als ‘authorised push payment-fraud’. Kifid wijst er expliciet op dat voor niet-toegestane betalingen een ander toetsingskader geldt - zoals in de eerdere uitspraak CvB 2026-0022 - waardoor de uitkomst daar anders kan zijn.
Alleen de zorgplicht biedt een opening
Een bank hoeft zo’n betaling alleen terug te betalen als zij haar zorgplicht heeft geschonden. Die plicht reikt niet zover dat de bank elke opdracht controleert; dat hoeft pas bij serieuze aanwijzingen voor fraude. Die waren er volgens de commissie onvoldoende.
De bank had de eerste overboeking, vanaf een depositorekening, nog tegengehouden voor onderzoek, maar de klanten verklaarden desgevraagd - op influistering van de fraudeur - dat het geld bestemd was voor de aankoop van een camper. Die verklaring paste bij de opdrachten en was niet zó ongebruikelijk dat de bank fraude had moeten vermoeden.
Ook een beroep op de coulanceregeling voor bankhelpdeskfraude strandde. Die geldt alleen onder voorwaarden, en in dit geval ging het geld niet naar een zogenoemde ‘kluisrekening’ maar naar een derde bij een andere bank. Een coulancevergoeding is bovendien niet juridisch afdwingbaar, en de weigering van de bank achtte Kifid niet onaanvaardbaar.
Met de bindende uitspraak bevestigt de Commissie van Beroep de eerdere beslissing van de Geschillencommissie (GC 2025-0912). Voor de praktijk betekent het dat slachtoffers die op aandringen van een nepmedewerker zélf overboeken, het verlies in de regel zelf dragen - tenzij de bank steken heeft laten vallen in haar zorgplicht.