Een Rabobank-klant die via een phishinglink op Marktplaats haar bankgegevens weggaf, krijgt haar schade van bijna 4.000 euro niet vergoed. Dat oordeelde het financiele klachteninstituut Kifid, dat vaststelde dat de vrouw grof nalatig had gehandeld: zij negeerde een expliciete waarschuwing op haar Rabo Scanner en koppelde daarmee een nieuw toestel van de oplichter aan haar betaalrekening. De uitspraak is opvallend, want een paar maanden eerder maakte Kifid het slachtoffers van bankfraude juist makkelijker om hun geld terug te krijgen. En de echte les zit voor jou als ondernemer niet in dit consumentengeschil, maar in wat het blootlegt over aansprakelijkheid bij fraude, want die valt voor bedrijven vaak nog ongunstiger uit.
Wat er precies gebeurde
De vrouw verkocht iets op Marktplaats en werd benaderd door iemand die zich voordeed als koper. Via een toegestuurde hyperlink kwam ze op een nep-omgeving terecht, waar ze haar inloggegevens invoerde. Vervolgens verrichtte ze handelingen met haar betaalpas, pincode en Rabo Scanner en voerde ze een signeercode in. Precies die handelingen registreerden een nieuw toestel, een mobiele telefoon van de fraudeurs, voor gebruik van de Rabo App op haar rekening. Met dat gekoppelde toestel plaatsten de oplichters daarna bestellingen en betalingen, onder meer bij bol.com.
Zij eiste van Rabobank een vergoeding van 3.958 euro. De bank had op dat moment al 248,56 euro van de schade teruggeboekt, maar weigerde de rest. Kifid stelde de bank in het gelijk.
Waarom Kifid dit grove nalatigheid noemt
De hoofdregel is beschermend voor de klant: bij een niet-toegestane betaling moet de bank de schade in beginsel vergoeden, tenzij de rekeninghouder heeft gefraudeerd of met opzet of grove nalatigheid de veiligheidsregels heeft geschonden. Dat laatste is een zware, wettelijke maatstaf uit artikel 7:529 van het Burgerlijk Wetboek.
En die lat is recent juist hoger gelegd. In april scherpte de Commissie van Beroep van Kifid de norm aan: van grof nalatig handelen is pas sprake als de consument zich daadwerkelijk bewust is van het gevaar en toch niet anders handelt. Slachtoffers die simpelweg door slimme social engineering zijn gemanipuleerd, zijn dus niet meteen grof nalatig, en banken moeten vaker volledig vergoeden.
Toch haalde deze zaak die hogere lat. Op de Rabo Scanner stond expliciet en ondubbelzinnig dat er een toestel voor online bankieren werd geregistreerd, met de gerichte waarschuwing om te stoppen als zij die registratie niet zelf had gestart. Daarna volgde nog een bevestigings-sms over het nieuwe toestel. Door die signalen te negeren en de handeling toch met de signeercode te bevestigen, handelde de consument grof nalatig bij het naleven van de veiligheidsregels, aldus de Geschillencommissie in haar uitspraak van 23 juni. De commissie oordeelde bovendien dat de vrouw pas in actie kwam toen ze de frauduleuze afschrijvingen zag, terwijl ze bij de registratiemelding al had kunnen ingrijpen.
De trend achter deze zaak
De zaak staat niet op zichzelf. Het aantal fraudegevallen in het Nederlandse betalingsverkeer groeit hard: de betalingsfraude steeg in 2025 met 30 procent tot 198 miljoen euro schade, vooral aangejaagd door sociale manipulatie zoals phishing en bankhelpdeskfraude. Dezelfde werkwijze dook op bij oplichters die KNAB-klanten telefonisch een QR-code lieten scannen om inloggegevens te stelen. De methode verschuift, van een nep-bankmedewerker naar een nep-koper op Marktplaats, maar het einddoel is steeds hetzelfde: jou zelf de sleutel laten omdraaien.

Wat dit betekent voor jou en je bedrijf
Hier zit de kern voor ondernemers, en die is ongemakkelijk. De wettelijke bescherming waar deze klant zich op beriep, geldt voor consumenten. Voor een zakelijke rekening mag de bank daar contractueel van afwijken: de wet staat toe dat de aansprakelijkheidsregels niet gelden als de rekeninghouder geen consument is. In de praktijk leggen algemene bankvoorwaarden daardoor meer risico bij het bedrijf. Waar een particulier nog een discussie over grove nalatigheid kan voeren, kan die route voor jouw onderneming al bij voorbaat dichtzitten. Eenmaal betaald, is betaald.
Dat maakt preventie geen bijzaak maar je enige echte vangnet. En preventie is geen kwestie van beter opletten. Zoals ik eerder betoogde is phishing allang geen technisch probleem meer maar een procesprobleem, waarbij AI de herkenbaarheid uit valse berichten heeft gesloopt. Een overtuigende nep-koper of nep-leverancier valt niet meer te herkennen aan taalfouten. De verdediging zit dus in hoe je je betaal- en autorisatieprocessen inricht: een vier-ogen-principe voor betalingen en wijzigingen, harde limieten per transactie en per dag, een vaste en trage procedure voor het koppelen van nieuwe apparaten of het wijzigen van rekeningnummers, en de ijzeren regel dat codes, pincodes en signeercodes nooit ergens buiten je eigen bankapp worden ingevoerd.
De uitspraak brengt een principe scherp in beeld dat elke ondernemer zich mag aantrekken: een handtekening die je zelf zet, ook eentje in de vorm van een signeercode, is juridisch van jou, hoe geraffineerd je ook bent misleid. Richt je processen daarom zo in dat geen enkele losse klik, code of medewerker in zijn eentje geld kan verplaatsen. Dat is geen wantrouwen, dat is het enige wat overeind blijft als de bank straks naar jou wijst.
Veelgestelde vragen
Fraudebestendige processen
Ik help je je betaal- en autorisatieprocessen zo ontwerpen dat geen enkele losse klik of code in zijn eentje geld kan verplaatsen. Van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
