Betaling aan een hacker; wie betaalt de rekening?

27 jul 2021

Postfraude. Iedereen kent het vermoedelijk nog wel. Fraudeurs die facturen onderscheppen door postbussen te kraken die op onbewaakte plekken, vaak industrieterreinen e.d., staan.

Net als veel processen in onze maatschappij, vindt ook postfraude steeds vaker digitaal plaats. Oplichters worden inventiever en kundiger en weten zelfs valse facturen te sturen vanaf het e-mailadres van de crediteur (hierna: schuldeiser).

Maar wat nu als u gehackt wordt, waardoor debiteuren (hierna: schuldenaren) uw facturen op het rekeningnummer van een derde betalen? Of wat als u een factuur op een – naar achteraf blijkt – verkeerd rekeningnummer betaalt? Voor wiens risico komt dit? De Hoge Raad deed op 25 mei 2021 uitspraak.

De feiten

Hascor en Yildirim zijn al jarenlang handelspartners in de metaalhandel. Vaste praktijk is dat Hascor een bestelling plaatst bij Yildirim, waarna Yildirim de bestelling doorstuurt naar een van haar dochtervennootschappen die vervolgens als verkoper optreedt.

De hack

In september 2015 bestelt Hascor bij Yildirim een partij metaal voor een bedrag van $ 363.394,13. Yildirim wijst als verkopende vennootschap haar dochtervennootschap Devante aan.

Eind oktober 2015 wordt vanaf een e-mailadres eindigend op @yildirimgroup.com een e-mail aan Hascor gestuurd met daarbij de verzenddocumenten en de factuur. Enkele minuten later wordt vanaf hetzelfde e-mailadres een nieuwe e-mail aan Hascor gestuurd met het bericht dat de vorige e-mail onjuiste verzenddocumenten bevatte en een nieuwe e-mail zal volgen. Weer enkele minuten later volgt een derde e-mail met het bericht dat nu de juiste verzenddocumenten zijn bijgevoegd. In werkelijkheid bevat deze e-mail precies dezelfde verzenddocumenten als de eerste e-mail. Op de bijgevoegde factuur is enkel het bankrekeningnummer aangepast.

De betaling

Hascor gaat niet na of en in welke mate de verzenddocumenten en de factuur zijn aangepast en betaalt op 2 november 2015 de factuur op het in de nieuwe factuur genoemde bankrekeningnummer. Pas op 5 november 2015 ontvangt Hascor de originele documenten per post.

De discussie tussen partijen

Nadat partijen vaststellen dat de gelden naar een derde zijn overgeboekt, verlangt Devante alsnog betaling door Hascor op haar eigen bankrekeningnummer. Hascor stelt zich op het standpunt dat zij reeds bevrijdend heeft betaald.

De beoordeling

In eerste aanleg is de vordering van Devante toegewezen, maar in hoger beroep wordt Hascor in het gelijk gesteld. Het hof oordeelt dat er omstandigheden zijn die rechtvaardigen dat Hascor aannam en redelijkerwijs mocht aannemen dat de vervalste factuur echt was. Devante is daarvan in cassatie gekomen.

Uitgangspunt: de schuldenaar moet alsnog aan de schuldeiser betalen

De Hoge Raad begint met het uitgangspunt dat wanneer iemand (de fraudeur) zich valselijk voordoet als een ander (de schuldeiser), deze schuldeiser zich er jegens degene tot wie de valselijke verklaring is gericht (de schuldenaar) op kan beroepen dat de verklaring niet van haar afkomstig is. Zelfs wanneer de schuldenaar heeft aangenomen en redelijkerwijs mocht aannemen dat de verklaring echt was.

Bijzondere omstandigheden

Dit is slechts anders wanneer bijzondere omstandigheden met zich brengen dat het geheel of gedeeltelijk aan de schuldeiser valt toe te rekenen dat de schuldenaar de valse verklaring voor echt heeft gehouden en mocht houden (zo blijkt uit het arrest ‘Kamerman/Aro Lease’).

Bij de beoordeling daarvan kan volgens de Hoge Raad een rol spelen in hoeverre partijen adequate voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in staat is zich voor een van hen uit te geven. In dat verband mag van partijen worden verwacht dat zij inzicht geven in hun inspanningen om de fraudeur en zijn werkwijze te achterhalen en de uitkomsten van dat onderzoek.

De Hoge Raad volgt het hof dat er bijzondere omstandigheden zijn

Het hof oordeelde dat er sprake was van dergelijke bijzondere omstandigheden om de volgende redenen. Alle e-mails waren steeds afkomstig van hetzelfde juiste e-mailadres. Dit e-mailadres werd ook bij eerdere bestellingen door Yildirim gebruikt om facturen aan Hascor te zenden. Ook het onderwerp van de e-mails was steeds hetzelfde. Volgens het hof gaven de e-mails Hascor geen aanleiding om de factuur te controleren. Daarbij speelt mee dat Hascor de gekochte metalen steeds afnam van een andere, door Yildirim als verkoper aangewezen, dochtervennootschap. Door Yildirim werd geen vast bankrekeningnummer gehanteerd. Zowel de bank als het bankrekeningnummer verschilden per bestelling. Ook was het niet ongebruikelijk dat verzenddocumenten tussentijds werden aangepast. De e-mail met het bericht dat de verzenddocumenten zouden worden aangepast, vormde daarom voor Hascor geen reden om onraad te ruiken. Het feit dat de valse factuur op veel onderdelen afwijkt van de standaardfacturering van Yildirim en haar dochtermaatschappijen doet de balans ook niet in het voordeel van Yildirim uitslaan. Iedere dochtervennootschap had namelijk haar eigen huisstijl. Als laatste wordt Yildirim toegerekend dat zij pas na enkele weken om betaling heeft gevraagd, waardoor het voor Hascor niet meer mogelijk was om de onjuiste betaling bij de bank terug te draaien. Volgens de Hoge Raad geeft het hof hiermee geen blijk van een onjuiste rechtsopvatting.

Slotsom: de verkoper betaalt in dit geval de spreekwoordelijke rekening!

De conclusie

Uit deze uitspraak blijkt dat het voor alle partijen essentieel is om alert te zijn op mogelijke hackers. Enerzijds moeten schuldenaren iedere te betalen factuur nauwkeurig controleren, omdat een betaling aan een fraudeur in beginsel voor zijn eigen rekening en risico komt. Anderzijds kunnen er omstandigheden zijn die maken dat betaling aan een fraudeur voor rekening van de schuldeiser komt. Het is dus zaak om hacks te voorkomen, o.a. door zorg te dragen voor een afdoende cyber security.

Vragen?

De uiteindelijke uitkomst van een geschil is afhankelijk van de omstandigheden en zal van geval tot geval verschillen. Bent u gehackt, waardoor schuldenaren uw facturen op het rekeningnummer van een derde hebben betaald, of heeft u zelf een factuur op een – naar achteraf blijkt – verkeerd rekeningnummer betaald? Onze advocaten – gespecialiseerd in handelsrecht – helpen u graag verder!

Hermanides Advocaten gebruikt cookies. Accepteer de cookies om de website te kunnen gebruiken. Lees waarom en welke cookies we gebruiken in onze Cookie en privacyverklaring

Deze site is standaard ingesteld op 'cookies toestaan", om je de beste mogelijke blader ervaring te geven. Als je deze site blijft gebruiken zonder je cookie instellingen te wijzigen, of als je klikt op "Accepteren" hieronder, dan geef je toestemming voor het gebruik van Cookies.

Sluiten