Wie wordt er betaald bij bankhelpdeskfraude: u of de bank? De Commissie van Beroep van Kifid trekt de lijn scherper: als u zélf het geld overboekt met uw eigen codes, is dat in beginsel een ‘toegestane betaling’. En bij een toegestane betaling ligt het risico niet automatisch bij de bank, ook niet als u door slimme social engineering bent gemanipuleerd. Dat is een belangrijk signaal aan klanten én banken, met mogelijke gevolgen voor claimbeleid, fraudekosten en de manier waarop banken hun betaalprocessen inrichten.
Wat Kifid nu bevestigt: ‘toegestaan’ is doorslaggevend
Kifid maakt in dit type zaken een kernonderscheid dat voor veel consumenten en ondernemers niet intuïtief voelt: niet “is er fraude gepleegd?”, maar “was de betaling toegestaan?”. Bij bankhelpdeskfraude doet de oplichter zich vaak voor als bankmedewerker en zet u onder druk om “veilig” geld over te maken of een “verificatie” te doen. Als u vervolgens zélf de overboeking initieert en autoriseert met de juiste codes, dan is de betaling volgens deze Kifid-lijn in beginsel toegestaan.
Die kwalificatie is bepalend, omdat de wettelijke bescherming bij niet-toegestane transacties doorgaans zwaarder is. In de praktijk betekent dit: ook als u bent misleid, kan het alsnog zo zijn dat de bank niet hoeft te vergoeden, omdat het systeem correct is gebruikt en de instemming formeel bij u lag.
Waarom dit verschil zo belangrijk is voor u
Voor u als klant verschuift de discussie van “ik ben slachtoffer” naar “had ik de betaling feitelijk en juridisch geautoriseerd?”. Dat kan hard uitpakken, zeker als het om grote bedragen gaat of om zakelijke rekeningen met hogere limieten. Het onderstreept ook dat het delen van codes, het goedkeuren van transacties en het op verzoek overboeken naar ‘veilige rekeningen’ vrijwel altijd rode vlaggen zijn.
Social engineering: het risico verschuift naar de menselijke schakel
Bankhelpdeskfraude is zelden een technisch hackprobleem. Het is procesmisbruik, waarbij criminelen het gedrag van mensen sturen. Die trend zien we al langer: cybercriminelen hoeven het slot niet te kraken als ze u kunnen bewegen om zelf de deur te openen.
De Kifid-lijn legt de lat voor vergoeding dus niet primair bij de vraag of de bank haar IT op orde had, maar bij de vraag of u de betaling hebt toegestaan. Daarmee verschuift het risico bij social engineering-fraude sneller naar de rekeninghouder. Voor banken kan dit leiden tot minder directe vergoedingsplicht, maar niet per se tot minder reputatierisico. Publieke en politieke druk kan nog steeds oplopen als slachtoffers met lege handen blijven staan.
Wat dit kan betekenen voor ondernemers
Ondernemers lopen extra risico omdat betaalprocessen vaak over meerdere personen lopen, met hoge daglimieten en spoedbetalingen. Een overtuigende ‘bankmedewerker’ aan de telefoon die aandringt op directe actie, kan in een drukke operatie sneller door het controlesysteem heen glippen. Intern beleid, vierogenprincipes en duidelijke escalatieregels worden daarmee geen compliance-oefening, maar een directe schadebeperker.
Welke maatregelen banken kunnen aanscherpen
Dat een betaling ‘toegestaan’ is, betekent niet dat banken achterover kunnen leunen. Juist omdat social engineering toeneemt, wordt de vraag belangrijker welke zorgplicht banken in de praktijk invullen met preventie en frictie op kritieke momenten.
SCA en slimme frictie op het juiste moment
Strong Customer Authentication (SCA) is effectief tegen ongeautoriseerde toegang, maar minder tegen misleiding waarbij u zelf handelt. Banken kunnen daarom aanvullende controles inzetten, zoals extra bevestigingsstappen bij nieuwe begunstigden, hoge bedragen of ongebruikelijke timing. Niet om betalen moeilijk te maken, maar om het “moment van twijfel” te creëren dat fraude doorbreekt.
Waarschuwingen die specifieker en contextueel zijn
Algemene pop-ups verliezen snel effect. Steeds meer waarde zit in waarschuwingen die concreet zijn: “U staat op het punt geld over te maken naar een rekening die u nog nooit gebruikte” of “Onze medewerkers vragen nooit om een overboeking naar een veilige rekening”. Dit soort context kan later ook relevant zijn in discussies over eigen verantwoordelijkheid en bankzorgplicht.
Transactiemonitoring en snel ingrijpen
Transactiemonitoring wordt traditioneel sterk geassocieerd met witwasdetectie, maar kan ook helpen bij fraude: patroonherkenning, device-informatie, begunstigdehistorie en afwijkende gedragskenmerken. De uitdaging is de balans tussen privacy, snelheid en het voorkomen van onnodige blokkades. Maar als de sector vergoedingen vaker kan afwijzen bij ‘toegestane betalingen’, groeit tegelijk de noodzaak om slachtoffers te voorkomen, omdat herstel achteraf vaak lastig is.
Gevolgen voor beleid, claims en sectorbrede fraudekosten
Deze Kifid-bevestiging kan doorwerken in drie richtingen. Ten eerste in claimverwachtingen: consumenten en ondernemers die zelf hebben geautoriseerd, zullen minder vaak succesvol zijn met een vergoedingstraject. Ten tweede in bankbeleid: we verwachten meer nadruk op aantoonbare waarschuwingen, limietbeheer en gedragsdetectie, om zowel fraude te reduceren als discussies achteraf te beperken. Ten derde in fraudekosten: als minder wordt vergoed, dalen directe compensatielasten mogelijk, maar kunnen indirecte kosten stijgen door extra preventie, klantenservice, reputatieherstel en juridische afhandeling.
Voor wie zich wil verdiepen in de bredere kaders rond veilig betalen en toezicht, biedt de toezichthouder achtergrond en thema’s rond betaalveiligheid via De Nederlandsche Bank.
Wat u nu praktisch kunt meenemen
-
Autoriseert u zelf met codes, dan kan een betaling juridisch ‘toegestaan’ zijn, ook als u bent misleid.
-
Leg intern vast wie betalingen mag doen, met welke limieten en met welke extra check bij ‘spoed’.
-
Neem waarschuwingen in de bankapp serieus en bel bij twijfel zélf terug via het officiële nummer, niet via een nummer dat u krijgt doorgestuurd.
De kern is nuchter: bij helpdeskfraude wordt de strijd steeds meer gevoerd op gedrag en proces. Kifid zet daarbij een duidelijke juridische markering, en die gaat de praktijk van banken en klanten merkbaar beïnvloeden.
