Stel, u krijgt een mailtje via de vermeende privé e-mail van de topman in uw organisatie om geld over te maken naar een onbekende dochtermaatschappij in een ver land. "Achter de betaling zit haast!” wordt gezegd en u wordt vriendelijk verzocht de betaling te verzwijgen omdat het om bedrijfsgevoelige informatie gaat.
U denkt nu natuurlijk: “Dit zit mis!”. Maar u heeft natuurlijk de titel van deze blog gelezen en daardoor gaan onbewust al meerdere alarmbellen rinkelen. Toch trappen meer mensen in zogeheten CEO-fraude dan we denken. Het gaat daarbij meestal niet eens om langdurige hacking of phishing, maar enkel om het inspelen op emoties. Kwaadwillende partijen doen zich voor als een topambtenaar, CEO, CFO, financieel administrateur, advocaat, accountant of een ander betrouwbaar persoon en bewegen iemand tot overmaken van gelden.
Zorgplicht voor de bank?
Bij de zaak van de bioscoopketen dacht ik gelijk aan een enigszins vergelijkbare zaak met een grote winkelketen. In die zaak had een twintiger zich - kort gezegd - voorgedaan als een extern transportbedrijf en stuurde in die hoedanigheid neppe facturen aan de winkelketen. Op die manier ontfutselde deze twintiger een aanzienlijk bedrag van de winkelketen. De betalingen kwamen binnen op de Nederlandse bankrekening van de twintiger. Hij sluisde vervolgens dit geld door naar het buitenland. Omdat de hoogte en aantallen van deze betalingen ongebruikelijk waren, merkte de bank eind januari 2015 op dat er iets mis was. En begin februari 2015 wordt een melding gedaan bij de Financial Intelligence Unit (FIU), met de toelichting dat de transacties niet in het klantbeeld passen. Pas in maart 2015 wordt de rekening van de twintiger geblokkeerd.
Het geld was weggesluisd dus bij de dader viel voor de winkelketen weinig te halen. De winkelketen sprak vervolgens de bank van de dader aan omdat deze haar zorgplicht jegens de winkelketen zou hebben geschonden. De rechtbank oordeelde dat gelet op de omstandigheden van dit geval, de bank onvoldoende voortvarend te werk was gegaan. Als zij sneller had opgetreden, had het vermoeden dat sprake was van fraude, eerder kunnen worden bevestigd en de bankrekening eerder kunnen worden afgesloten. De schade van de winkelketen was dan minder geweest. Doordat de bank niet voortvarend te werk was gegaan, had zij de op haar rustende zorgplicht jegens de winkelketen geschonden. Zo blijkt dus dat bij CEO-fraude mogelijk de zorgplichten van de bank relevant zijn.
Ook deels eigen schuld bij CEO-fraude
Hoewel er dus ook bij CEO-fraude een mogelijke toepassing van een zorgplicht van de bank relevant is, kan CEO-fraude vaak ook aan de door de fraude benadeelde partij worden toegerekend. Hierbij spelen ook weer de omstandigheden van het geval een rol. In aanmerking wordt genomen de aantallen betalingen, termijnen en de hoogte van bedragen. In de zaak van de winkelketen had de bank terecht aangevoerd dat van een groot, internationaal opererend bedrijf kan worden verwacht dat zij adequate interne procedures hanteert ter voorkoming van fraude. De bank hoefde in deze zaak dan ook niet het volledige bedrag te vergoeden van de rechtbank.
Afsluiting
Let op dat de bank in de zaak met de winkelketen in hoger beroep is gegaan. Het gerechtshof heeft ten tijden van het schrijven van deze blog nog geen uitspraak gedaan. Maar een nieuwe lijn voor een mogelijk beroep op de zorgplichten van de bank op het punt van (CEO-)fraude lijkt met de uitspraak van de rechtbank wel gezet.
Trek bij verdachte situaties dus tijdig aan de bel, en onthoudt: Dirkzwager heeft deskundige specialisten op het gebied van zorgplichten en aansprakelijkheid.