Factuurfraude. Het komt steeds vaker voor, zie hiervoor enkele andere uitspraken. De crimineel hackt een e-mailaccount en onderschept de digitaal verstuurde facturen. De crimineel vervalst de factuur en stuurt een bericht naar de koper dat er op een ander rekeningnummer moet worden betaald. De nietsvermoedende koper denkt dat er betaald is maar hij krijgt zijn goederen niet. Na een belletje met de verkoper, komt de koper erachter dat de verkoper geen geld heeft gekregen en dus ook niets levert. Of de goederen liggen al bij de koper en de verkoper klopt aan omdat niet betaald is. Wie moet opdraaien voor deze schade? De koper of de verkoper?
De Hoge Raad heeft recentelijk arrest gewezen over het vraagstuk van factuurfraude en wie de schade moet dragen. Ik bespreek kort de feiten en ga daarna in op de overwegingen.
De feiten
Het bedrijf Hascor uit Nederland koopt al jaren ferrochroom in bij het bedrijf Yildirim (uit Turkije). Hascor plaatst bij Yildirim een koopopdracht. Yildirim wijst haar dochtermaatschappij Devante (gevestigd op Tortula) aan om te leveren. De koopprijs was meer dan $ 360.000,00. Op 28 oktober 2015 stuurt Yildirim de bevestiging en de vrachtpapieren met de factuur. Enkele minuten daarna volgt een tweede mail van Yildirim met de juiste papieren. Twintig minuten daarna ontvangt Hascor een derde mail met exact dezelfde vrachtpapieren en met een factuur. Deze derde mail is een mail van een hacker die in de communicatie tussen de koper en de verkoper is ingebroken. De hacker heeft op de factuur het rekeningnummer gewijzigd.
Hascor betaalt nietsvermoedend $ 360.000,00 aan de hacker. Hascor ontdekt ongeveer
2 maanden later dat zij is opgelicht en dat het geld is verdwenen. Storneren gaat niet meer. Devante heeft het ferrochroom geleverd aan Hascor en vordert betaling van $ 360.000,00. Hascor verweert zich met het argument dat zij er op mocht vertrouwen dat zij aan Devante heeft betaald (de mail van de hacker leek echt de mail van Yildirim te zijn). Moet Hascor een tweede keer betalen of moet Yildirim/Devante de geleverde goederen gratis achterlaten?
Enkele details van deze zaak moeten nog vermeld worden. De valse email lijkt van exact hetzelfde emailadres als de vorige emails van Yildirim te zijn. De tekst en het onderwerp zijn gelijk aan de vorige emails. Het wijzigen van vrachtpapieren komt vaker voor en is daarom geen reden voor een alarmbel. Bij eerdere aankopen wees Yildirim nooit Devante aan maar andere dochterbedrijven. Yildirim heeft in het verleden verschillende bankrekeningen genoemd waarop betaald kon worden. De opmaak van facturen verschilde per dochtermaatschappij van Yildirim. Wel lijkt de vervalsing redelijk opzichtig; er is een ander en groter lettertype en een andere uitlijning gebruikt voor de bankgegevens.
Hoffman Bedrijfsrecherche heeft niet kunnen vaststellen of de hack nu bij Devante/Yildirim of bij Hascor heeft plaatsgevonden. Beide opties zijn mogelijk.
De rechtspraak
De eerste vraag is natuurlijk wat de inhoud van de overeenkomst is en welk recht van toepassing is.
De rechtbank gaat uit van Nederlands recht en heeft de vordering van Devante toegewezen; Hascor moet een tweede maal betalen.
De rechtbank overweegt dat het de hoofdregel is dat als een derde iets voor een ander verklaart, de ander er zich in de regel op kan beroepen dat die verklaring niet van hem afkomstig is, ook als degene tot wie de verklaring was gericht, heeft aangenomen en redelijkerwijs mocht aannemen dat de verklaring wèl van die ander afkomstig is. De ontvanger kan wel worden beschermd in het vertrouwen dat de verklaring van die ander afkomstig is als sprake is van bijzondere omstandigheden. Deze bijzondere omstandigheden moeten dan leiden tot een gerechtvaardigd vertrouwen van de ontvanger dat het gerechtvaardigd vertrouwen aan die ander valt toe te rekenen.
Met andere woorden: het uitgangspunt is dat Devante kan stellen dat de derde email niet van haar is. Dit kan anders worden als Hascor door toedoen van Devante/Yildirim gerechtvaardigd mocht vertrouwen op de email van de hacker.
De rechtbank ziet geen omstandigheden waaruit kan worden afgeleid dat er sprake was van gerechtvaardigd vertrouwen. Dus Hascor moet een tweede maal betalen.
Hascor gaat in beroep bij het gerechtshof
Het Gerechtshof vraagt zich af welk recht van toepassing is. Omdat er verder niets is afgesproken door de partijen, is het Weens Koopverdrag van toepassing. Het Weens Koopverdrag is een verdrag met een eigen wetgeving voor internationale koopcontracten. Het regelt, net als het Burgerlijk Wetboek, onderwerpen zoals de betaling en de conformiteit. Dit verdrag heeft volgens het Hof echter geen regeling voor een valse verklaring van een onbevoegde derde (de hacker), zodat daarvoor weer naar het Nederlandse recht moet worden gekeken.
Het Hof meent dat er wèl sprake is van bijzondere omstandigheden waardoor Hascor er op mocht vertrouwen dat de valse email van Yildirim afkomstig was. Hascor hoeft niet (nog eens) te betalen.
Devante gaat in cassatie bij de Hoge Raad
De Hoge Raad bevestigt dat het uitgangspunt is en blijft dat de wet geen bescherming biedt aan degene die afgaat op de verklaring van een frauderende derde (het arrest Kamerman/Aro Lease uit 1992). Zelfs als de opgelichte redelijkerwijs mocht aannemen dat de frauduleuze verklaring van zijn contractuele wederpartij afkomstig was. Wel is een uitzondering mogelijk op basis van de specifieke omstandigheden.
Deze omstandigheden moeten dan wel van dien aard zijn dat
“zij rechtvaardigen dat aan degene voor wie valselijk iets is verklaard, geheel of ten dele wordt toegerekend dat geadresseerde de verklaring voor echt heeft gehouden en redelijkerwijze mocht houden”. (rechtsoverweging 3.1.2)
De omstandigheden kunnen dus ook van dien aard zijn dat het slechts in een bepaalde mate aan degene voor wie valselijk is verklaard, moet worden toegerekend dat de geadresseerde gerechtvaardigd op die verklaring heeft vertrouwd, en dat dit voor het overige voor rekening en risico van de geadresseerde blijft.
Met andere woorden; heeft Yildirim/Devante zelf (actief of passief) bijgedragen aan het vertrouwen bij Hascor? Als dit zo is, dan kan de rekening geheel of deels bij Yildirim/Devante worden neergelegd.
De Hoge Raad geeft aan dat het van belang is welke voorzorgsmaatregelen de partijen hebben genomen om een hack te voorkomen. Ook moeten de partijen laten zien wat zij hebben gedaan om het geld terug te halen (en/of de hacker te achterhalen).
De Hoge Raad concludeert dat het Hof de feiten goed op een rijtje heeft gezet en dat dit oordeel van het Hof in stand kan blijven. Hascor hoeft in deze situatie niet een tweede maal te betalen.
De conclusie
De conclusie is dat u ook slachtoffer kunt worden van dit soort hack-praktijken. Het zal u ongetwijfeld ook overkomen dat u nietsvermoedend veel geld overmaakt naar een hacker en dat u dit geld kwijt bent.
De banken maken het ons zo gemakkelijk mogelijk om te betalen. Dit is praktisch maar bedenk dat het uw eigen geld is dat u uitgeeft. Als na de transactie gevraagd wordt om op een ander rekeningnummer te betalen, moet u hard op de rem trappen.
Denk daarom goed na voordat u betaalt en zorg voor een dubbelcheck via een ander kanaal (bijvoorbeeld telefonisch) als er iets aan de hand lijkt te zijn. Zorg voor een goede beveiliging en leg in het contract de afspraken – inclusief het rekeningnummer waarop betaald moet worden – goed vast.
Als u erachter komt dat u aan een hacker heeft betaald, ga dan allereerst meteen naar uw eigen bank en de ontvangende bank en probeer de betaling te blokkeren en wellicht te storneren. Bericht de verkoper. Onderzoek en laat vast leggen hoe de hacker is binnen gekomen, doe aangifte en zoek rechtsbijstand.
Voor vragen kunt u altijd met ons contact opnemen.
