Nog niet eens zo heel lang geleden hengelden oplichters enveloppen uit brievenbussen, in de hoop facturen aan te treffen. De facturen werden dan vervalst door een sticker met het rekeningnummer van de oplichter over het correcte rekeningnummer te plakken (een spookfactuur). De oplichter plakte de enveloppen vervolgens weer dicht, deed ze op de post, waarna een nietsvermoedende debiteur de spookfactuur op het rekeningnummer van de oplichter betaalde.
Spookfactuur na een hack
Tegenwoordig zijn oplichters nog gewiekster in het versturen van spookfacturen. Eerst hacken zij het computersysteem van een schuldeiser. Daarna mailen zij rechtstreeks met de debiteur uit naam van de schuldeiser.
Zo ging dat ook in een zaak die kortgeleden bij de Hoge Raad voorkwam. De schuldeiser stuurde eerst een correcte e-mail met transportdocumenten voor de lading en de factuur aan de debiteur:
“Dear [debiteur],
Please find docs scan for the shipment attached.
Documents will be sent to you latest on Monday, waiting for original COO.
Best wishes,
[schuldeiser]”
Daarna nam de oplichter de controle over: enkele minuten later ontving de debiteur een e-mail vanuit hetzelfde emailadres:
“Dear [debiteur],
Please neglect previous shipping documents due to mistakes.
We will correct immediately and resend to you.
Please acknowledge.
Best wishes,
[schuldeiser]”
Kort daarop heeft de debiteur een derde e-mail ontvangen, weer vanuit hetzelfde e-mailadres:
“Dear [debiteur],
Thanks for your email confirmation.
Please find attached correct shipping documents.
As already informed, documents will be sent latest Monday.
Awaiting your payment swift.
Best wishes,
[schuldeiser]”
Bij deze derde e-mail waren exact dezelfde transportdocumenten voor de lading gevoegd als bij de eerste e-mail, maar met een gewijzigde factuur. Deze spookfactuur vermeldde, je voelt het al aankomen, een andere rekening voor het te betalen bedrag, namelijk het rekeningnummer van de oplichter. De debiteur heeft de vervalste factuur vervolgens nietsvermoedend betaald.
Conclusie: oplichter blij, en schuldeiser en debiteur hebben ineens flinke ruzie
Moet nogmaals worden betaald?
De schuldeiser start namelijk een procedure en eist dat de factuur wordt betaald. De debiteur stelt dat hij de vervalste factuur in goed vertrouwen al heeft betaald, en echt niet nogmaals gaat betalen. Wie heeft er gelijk?
Kamerman-arrest
De Hoge Raad heeft in het Kamerman-arrest al eens geoordeeld over een vergelijkbare kwestie. Het uitgangspunt is dat wanneer een debiteur een vervalste factuur betaalt, dat dit voor rekening en risico van de debiteur komt. Ook wanneer deze heeft aangenomen en redelijkerwijze mocht aannemen dat de factuur van de schuldeiser afkomstig was. Maar op dit uitgangspunt geldt een uitzondering. Namelijk: als de omstandigheden rechtvaardigen dat aan de schuldeiser kan worden toegerekend dat de debiteur heeft gedacht dat de factuur echt was én dat redelijkerwijze mocht denken. Wanneer dat zo is, hangt af van de omstandigheden van het geval.
Risicoverdeling
Hoge Raad voegt daar nu ten eerste aan toe dat het oordeel niet zwart/wit hoeft te zijn. De oplichting kan dus deels voor rekening en risico van de schuldeiser komen, en voor het overige voor rekening en risico van de debiteur.
Beveiliging van computersystemen
Maar daarnaast geeft de Hoge Raad een belangrijke aanwijzing voor wiens risico de betaling van een vervalste factuur komt. Bij de beoordeling kan onder meer een rol spelen in hoeverre partijen adequate voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in staat is zich voor een van hen uit te geven.
Kortom, het is juridisch gezien belangrijk om aan te kunnen tonen dat de beveiliging van de computersystemen op orde is en dat maatregelen zijn getroffen om een hack tegen te gaan.
Wie wint de rechtszaak?
Wat is nou de uitkomst in deze zaak? De betaling van de vervalste factuur komt, ondanks het uitgangspunt, voor rekening en risico van de schuldeiser. Er is in deze zaak namelijk sprake van bijzondere omstandigheden op basis waarvan de debiteur wordt beschermd:
- er werd gebruik gemaakt van het gebruikelijke e-mailadres;
- het onderwerp van de e-mails was steeds hetzelfde;
- door de schuldeiser werden bij eerdere bestellingen verschillende rekeningnummers gebruikt;
- het was niet ongebruikelijk dat transportdocumenten werden aangepast.
De spookfactuur hoeft in deze specifieke zaak dus niet nogmaals te worden betaald.
Factuurfraude bij Bol.com
In een andere rechtszaak kwamen betalingen van Bol.com van in totaal maar liefst € 750.000,– terecht bij een oplichter, in plaats van bij Brabantia. De oplichter had door het computersysteem van Brabantia te hacken, met het bij Bol.com bekende e-mailadres, aangegeven dat het rekeningnummer van Brabantia was gewijzigd.
De rechter oordeelde dat Bol.com beter had moeten opletten en had moeten twijfelen aan de juistheid van de e-mail en de bijlage daarbij:
- Het wijzigen van rekeningnummers biedt een makkelijke, aantrekkelijke ingang voor oplichters. Extra oplettendheid is daarom vereist.
- In de e-mail wordt verzocht een Spaans rekeningnummer te registreren, terwijl Brabantia een in Nederland gevestigd bedrijf is.
- Tussen Bol.com en Brabantia wordt al jarenlang uitsluitend in het Nederlands gecommuniceerd, terwijl de e-mail in het Engels is.
- In de bijlage bij de e-mail staan meerdere taalfouten: “Geachte heer mevrouw, Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken.”
Bol.com moest dus wel nogmaals betalen.
Advies
Heb jij of heeft jouw debiteur een spookfactuur betaald? Who you gonna call? Jonatan Faas.
Jonatan Faas
Advocaat