This post is also available in:
Bankphishing: de bank als voorlopige financier van de twijfel?
Over de beschikking van 26 mei 2026 van de voorzitter van de ondernemingsrechtbank Antwerpen, zetelend in kort geding, in een dossier van bankphishing.
Op 26 mei 2026 heeft de voorzitter van de ondernemingsrechtbank Antwerpen, zetelend in kort geding, in een zaak van bankphishing een bank veroordeeld tot de terugbetaling van 49.958 euro, vermeerderd met intresten, aan een echtpaar van 90 en 93 jaar. Twee overschrijvingen naar een Portugese rekening waren uitgevoerd nadat één van de klanten telefonisch was gecontacteerd door iemand die zich voordeed als een medewerker van de bank. De bank weigerde de schade te vergoeden. De beslissing werd sindsdien ruim opgepikt, soms zelfs voorgesteld als een ware “revolutie”.
Precies die kwalificatie verdient nuancering. De beschikking betreft een voorlopige maatregel, uitgesproken in kort geding, waartegen hoger beroep mogelijk is en die het geschil ten gronde niet beslecht. Zij stelt niet vast dat de bank een fout heeft begaan. Die precisering is geen louter procedureel detail: zij vormt de sleutel tot een juiste lezing van de beslissing en bepaalt wat financiële instellingen daaruit al dan niet moeten afleiden.
Een beschikking in kort geding, geen principieel arrest
De eerste sleutel tot een goed begrip van deze beslissing is van procedurele aard.
De voorzitter van de ondernemingsrechtbank Antwerpen zetelt in kort geding. Hij legt dus een voorlopige maatregel op binnen een spoedeisende procedure, zonder zich definitief uit te spreken over de aansprakelijkheid van de betrokken partijen.
De motivering inzake de spoedeisendheid verdient bijzondere aandacht.
De rechter verwijst eerst naar het klassieke kader van artikel 584 van het Gerechtelijk Wetboek: er is sprake van spoedeisendheid wanneer een onmiddellijke beslissing wenselijk is om aanzienlijke schade of ernstige nadelen te voorkomen waarvoor een gewone procedure geen afdoende oplossing zou bieden.
Vervolgens oordeelt hij dat de spoedeisendheid in hoofdzaak voortvloeit uit de ingeroepen wettelijke bepaling. Wanneer artikel VII.43 van het Wetboek van Economisch Recht aan de betalingsdienstaanbieder oplegt om een niet-toegestane betalingstransactie “onmiddellijk” terug te betalen en uiterlijk tegen het einde van de eerste daaropvolgende werkdag, vertoont een vordering die strekt tot naleving van die verplichting volgens hem een intrinsiek spoedeisend karakter. De leeftijd van de eisers — 90 en 93 jaar — en hun behoeften inzake huisvesting en zorg versterken volgens de rechter die vaststelling.
Deze redenering is niet zonder belang. Zij lijkt de wettelijke terugbetalingstermijn te verheffen tot een doorslaggevende aanwijzing van spoedeisendheid in kort geding. Dat standpunt is begrijpelijk, maar kan ook ter discussie worden gesteld. Procedurele spoedeisendheid valt immers niet noodzakelijk samen met de snelle opeisbaarheid van een materiële verbintenis.
De kern van de redenering: schijn volstaat in kort geding
Artikel VII.43 WER veronderstelt dat sprake is van een niet-toegestane betalingstransactie. De rechter kan die voorwaarde dus niet volledig buiten beschouwing laten.
Hij weigert echter om van het kort geding het forum te maken voor een volledig technisch en juridisch debat over de toestemming van de betaler.
De bank voerde op ernstige wijze aan dat de overschrijvingen wel degelijk waren toegestaan, aangezien zij waren uitgevoerd na het doorlopen van de overeengekomen authenticatiestappen: bankkaart, digipass, geheime code, responscodes en unieke codes die per sms werden verzonden.
De rechter spreekt zich niet definitief uit over dat argument. Hij oordeelt dat een volledig onderzoek naar het al dan niet toegestane karakter van de transactie — wat onder meer een analyse vergt van de overeengekomen procedure, de technische gegevens van de transacties en de gebruikte toestellen — verder gaat dan wat verenigbaar is met de logica van een onmiddellijke terugbetaling en het nuttig effect van artikel VII.43 WER dreigt uit te hollen.
Daarom kiest hij voor een benadering gebaseerd op de schijn van recht. Op het eerste gezicht lijken de voorwaarden van artikel VII.43 WER vervuld. Volgens de rechter volstaat dat om een voorlopige terugbetaling te bevelen.
Het argument dat de transactie wel degelijk was toegestaan, wordt dus niet ten gronde verworpen. De beoordeling ervan wordt uitgesteld.
Grove nalatigheid: een uitgesteld, niet uitgesloten verweer
Dezelfde redenering geldt voor het verweer gebaseerd op grove nalatigheid.
De bank voerde aan dat, zelfs indien de transacties niet waren toegestaan, de eisers zich schuldig hadden gemaakt aan grove nalatigheid. Daarbij beriep zij zich op artikel VII.44 WER als bijzondere bepaling die de uiteindelijke risicoverdeling regelt.
De rechter volgt die lezing niet in het stadium van de onmiddellijke terugbetaling. Daarbij verwijst hij onder meer naar de conclusie van advocaat-generaal Rantos van 5 maart 2026 in zaak C-70/25, die momenteel aanhangig is bij het Hof van Justitie van de Europese Unie.
Volgens die benadering regelt artikel 73 van Richtlijn 2015/2366, omgezet in Belgisch recht door artikel VII.43 WER, de onmiddellijke terugbetaling van niet-toegestane betalingstransacties. Artikel 74 van dezelfde richtlijn, omgezet door artikel VII.44 WER, komt pas nadien aan bod om de definitieve verdeling van de aansprakelijkheid en het risico te bepalen.
Met andere woorden: grove nalatigheid wordt niet buiten spel gezet. De beoordeling ervan wordt uitgesteld.
Zij kan nog steeds ten gronde worden onderzocht in het kader van de definitieve toerekening van het risico tussen de betrokken partijen.
Het debat verdwijnt niet. Het wordt enkel verplaatst — naar een later stadium en naar de partij die het initiatief moet nemen om de zaak verder uit te procederen.
Een onderscheid tussen onmiddellijke terugbetaling en definitieve aansprakelijkheid
De beschikking past aldus de volgende logica toe: eerst terugbetalen, vervolgens het risico verdelen.
Artikel VII.43 WER regelt een onmiddellijke en voorlopige terugbetaling, zonder vooruit te lopen op de definitieve aansprakelijkheid. Artikel VII.44 WER bepaalt vervolgens, op een later tijdstip en ten gronde, hoe het risico uiteindelijk tussen de partijen wordt verdeeld.
Dat onderscheid is essentieel, maar niet zonder discussie.
Men kan immers het bezwaar van de bank begrijpen: indien artikel VII.44 WER toelaat om het verlies bij grove nalatigheid ten laste van de betaler te leggen, waarom zou de kortgedingrechter dan geen rekening mogen houden met een grove nalatigheid die reeds prima facie uit het dossier blijkt?
Het antwoord van de beschikking ligt in de volgorde waarin de wettelijke bepalingen moeten worden toegepast. Volgens de rechter zou het aanvaarden van grove nalatigheid als een onmiddellijke belemmering voor de terugbetaling neerkomen op het toevoegen van een uitzondering aan artikel VII.43 WER die daarin niet is opgenomen. De enige uitzondering die op dit stadium uitdrukkelijk is voorzien, betreft een vermoeden van fraude door de betaler zelf, op voorwaarde dat dit schriftelijk wordt gemeld aan de FOD Economie.
Een bank kan dus ernstige argumenten hebben om aan te voeren dat de transactie werd toegestaan of dat de klant zich schuldig heeft gemaakt aan grove nalatigheid. Volgens de door de rechtbank gevolgde interpretatie rechtvaardigen die argumenten echter niet dat de onmiddellijke terugbetaling wordt uitgesteld. Zij kunnen hoogstens de basis vormen voor een latere terugvorderingsvordering.
De beschikking benadrukt dit uitdrukkelijk: de bank behoudt de mogelijkheid om ten gronde op te treden teneinde terugbetaling te verkrijgen indien zij van oordeel is dat de transactie door de betaler werd toegestaan of, bij gebrek daaraan, dat deze laatste grove nalatigheid heeft begaan. Pas in dat stadium zal worden beslist over de volledige of gedeeltelijke aansprakelijkheid van de betalers.
De rechtspraak ten gronde blijft overigens genuanceerder dan sommige commentatoren laten uitschijnen. Rechters hebben reeds geoordeeld dat slachtoffers van phishing zich schuldig hadden gemaakt aan grove nalatigheid wanneer de concrete omstandigheden van het dossier dat rechtvaardigden.
Authenticatie, toestemming en betwisting: de grijze zone
Een geauthenticeerde transactie is niet noodzakelijk een toegestane transactie.
Maar een betwiste transactie is evenmin noodzakelijk een niet-toegestane transactie.
De eerste stelling herinnert eraan dat het succesvol doorlopen van een technisch authenticatieproces niet altijd volstaat om juridisch geldig toestemming van de betaler aan te tonen. De tweede stelling herinnert eraan dat de loutere ontkenning door de klant evenmin volstaat om het ontbreken van toestemming te bewijzen.
Tussen deze twee stellingen bevindt zich een grijze zone van onzekerheid.
De beschikking beslecht die onzekerheid niet definitief. Zij bepaalt enkel wie de financiële last ervan moet dragen in afwachting van een uitspraak ten gronde.
De bank als voorlopige financier van de onzekerheid
De formulering mag enigszins provocerend klinken, maar vat de kern van het debat goed samen.
Volgens deze interpretatie wordt de bank, gedurende de looptijd van het geschil, de voorlopige financier van de onzekerheid over de vraag of een betaling al dan niet was toegestaan, dan wel of de klant zich al dan niet schuldig heeft gemaakt aan grove nalatigheid.
Niet omdat de bank noodzakelijk ongelijk zou hebben. Wel omdat de gekozen juridische sequentie de verplichting op haar legt om, na terugbetaling, zelf verdere gerechtelijke stappen tegen haar klant te ondernemen.
Het woord “voorlopig” is daarbij cruciaal.
Het gaat niet om een definitief verlies. Het gaat om een voorschot dat kan worden teruggevorderd indien de bank er later, in een procedure ten gronde, in slaagt aan te tonen dat de transactie werd toegestaan of dat het verlies wegens grove nalatigheid ten laste van de betaler moet blijven.
De twijfel is niet weggenomen; de kost ervan wordt voorlopig voorgeschoten.
Een draagwijdte die niet mag worden overschat
De beschikking past binnen een reële evolutie: de verplichting tot onmiddellijke terugbetaling zoals voorzien in artikel VII.43 WER wordt steeds ernstiger genomen, en de conclusie van advocaat-generaal Rantos in zaak C-70/25 versterkt die interpretatie.
Toch mag men niet verder gaan dan wat de teksten en beslissingen daadwerkelijk zeggen.
Vooreerst gaat het om een beschikking in kort geding. Zij legt een voorlopige maatregel op, waartegen hoger beroep mogelijk is, zonder de definitieve aansprakelijkheid van de partijen vast te stellen.
Daarnaast steunt de Europese redenering waarnaar wordt verwezen onder meer op een conclusie van een advocaat-generaal. Dergelijke conclusies zijn belangrijk, maar binden het Hof van Justitie niet. Het toekomstige arrest in zaak C-70/25 zal daarom met bijzondere aandacht moeten worden gelezen.
Ten slotte is de verplichting tot onmiddellijke terugbetaling bij een niet-toegestane betalingstransactie op zich niet nieuw. Wat evolueert, is de afdwingbaarheid ervan in geschillen: banken zouden steeds vaker verplicht kunnen worden om eerst terug te betalen en pas daarna de discussie ten gronde te voeren.
Daarmee is echter niet alles gezegd.
De uiteindelijke verdeling van het verlies zal steeds afhangen van de concrete omstandigheden van het dossier: het verloop van de fraude, de ontvangen berichten, het gedrag van de klant, de consistentie van de technische gegevens, eventuele waarschuwingen, het gebruik van de betaalinstrumenten en de kwaliteit van het bewijsdossier.
Daar zal uiteindelijk de doorslag worden gegeven.
Een eenvoudige regel, een complexe uitvoering
Op papier lijkt de regel eenvoudig: bij een niet-toegestane betalingstransactie moet de bank onmiddellijk terugbetalen, tenzij er een vermoeden bestaat van fraude door de betaler zelf en dit vermoeden wordt meegedeeld aan de FOD Economie.
In de praktijk ligt dat aanzienlijk moeilijker.
Een termijn van één werkdag laat zich moeilijk verzoenen met een grondig fraudeonderzoek. Op dat ogenblik beschikt de bank niet noodzakelijk over een volledige tijdslijn van de feiten, bruikbare loggegevens, een afgeronde technische analyse of een duidelijk beeld van de mogelijkheden tot recuperatie via de ontvangende bank of via zogenoemde mule accounts.
Toch moet zij een beslissing nemen: terugbetalen of de uitzondering wegens fraude door de betaler inroepen. En indien zij terugbetaalt, vervolgens beoordelen of een terugvorderingsprocedure aangewezen is.
Advocaat-generaal Rantos erkent dat overigens uitdrukkelijk in zaak C-70/25: de verplichting tot onmiddellijke terugbetaling kan praktische moeilijkheden en nadelen meebrengen voor betalingsdienstaanbieders. Volgens hem volstaat dat niet om van de regel af te wijken. De moeilijkheid bestaat echter wel degelijk.
Daarom wordt alles bepaald door de interne organisatie: snel kwalificeren, bewijsmateriaal veiligstellen, beslissen of moet worden terugbetaald en onmiddellijk de eventuele terugvordering voorbereiden.
De uitzondering wegens fraude door de betaler bestaat, maar veronderstelt redelijke aanwijzingen en een schriftelijke kennisgeving aan de FOD Economie binnen een korte termijn. Zij mag niet worden verward met grove nalatigheid, die thuishoort in de discussie ten gronde.
Ook het recht op terugvordering blijft bestaan, maar vereist dat vanaf het eerste moment een degelijk dossier wordt opgebouwd. Een phishingdossier wordt immers vaak beslist in de eerste uren: het veiligstellen van loggegevens, de consistentie van de tijdslijn, de identificatie van ontvangen berichten, het bewijs van waarschuwingen, de traceerbaarheid van contacten en de analyse van het gedrag van de klant.
Daarnaast blijft het risico op moreel risico bestaan.
Een terugbetaling die als automatisch wordt ervaren, zonder grondig onderzoek of verdere opvolging, zou opportunistische betwistingen kunnen aanmoedigen. Het systeem biedt daarop gedeeltelijk een antwoord: de bank behoudt haar regresrecht en grove nalatigheid kan nog steeds ten gronde worden gesanctioneerd.
Dat evenwicht blijft echter slechts behouden indien financiële instellingen in staat zijn om de dossiers die een terugvordering rechtvaardigen correct te identificeren, zorgvuldig te documenteren en daadwerkelijk ten gronde te voeren wanneer dat nodig blijkt.
De uitdaging bestaat dus niet alleen uit de vraag of de bank moet terugbetalen. De echte uitdaging is hoe zij binnen vierentwintig uur een beslissing organiseert die vervolgens het volledige verdere geschil kan bepalen.
Bankphishing: welke concrete aandachtspunten voor banken?
1. Onmiddellijke terugbetaling: de besluitvorming binnen één werkdag structureren
De grootste uitdaging blijft de termijn. De enige wettelijke mogelijkheid om een terugbetaling uit te stellen, is de uitzondering voor fraude door de betaler zelf, gekoppeld aan een schriftelijke kennisgeving aan de FOD Economie. Concreet vereist dit een snel beoordelingsproces dat binnen de wettelijke termijn leidt tot één van twee gedocumenteerde beslissingen: terugbetalen of de uitzondering wegens fraude door de betaler inroepen. In de praktijk lijkt van deze kennisgevingsmogelijkheid slechts beperkt gebruik te worden gemaakt. Dat is overigens begrijpelijk, aangezien daadwerkelijke fraude door de betaler relatief zeldzaam voorkomt.
Twee aandachtspunten zijn daarbij essentieel. Ten eerste mag fraude door de betaler, als enige grond om de terugbetaling uit te stellen, niet worden verward met grove nalatigheid, die pas relevant wordt in een procedure ten gronde. Ten tweede verdient het aanbeveling om terugbetalingen te benaderen als een kwestie van liquiditeitsbeheer en provisievorming, waarbij interne indicatoren verschuiven van een logica van “weigeren of vergoeden” naar een model van “eerst terugbetalen, vervolgens eventueel terugvorderen”.
2. De bewijsvoering rond de toestemming tot de transactie versterken
Het kort geding geeft geen definitief antwoord op de vraag of een transactie al dan niet werd toegestaan. Die beoordeling blijft voorbehouden aan de rechter ten gronde. Juist daarom wordt de kwaliteit van het bewijsdossier doorslaggevend.
Voor banken volstaat het niet langer om technische gegevens te bewaren. Zij moeten die gegevens ook begrijpelijk en overtuigend kunnen presenteren.
Authenticatielogs, sporen van sterke cliëntauthenticatie (SCA), koppelingen aan specifieke toestellen, itsme-gegevens of kaartlezerlogs, bewijs van verzending van codes, IP-adressen, geolocatiegegevens en sessie-informatie hebben slechts waarde indien zij gestructureerd, exporteerbaar en begrijpelijk zijn voor een rechter.
In de dossiers die wij behandelen, analyseren rechtbanken steeds vaker de technische details van dergelijke logbestanden. De advocaat die het dossier verdedigt, moet daarom in staat zijn technische processen, interne codes en digitale gebeurtenissen te vertalen naar een helder bewijsverhaal: wie heeft wat bevestigd, vanaf welk toestel, op welk tijdstip, na welke waarschuwing en in welke context?
De Antwerpse zaak illustreert dit indirect. De eisers betwistten de draagwijdte van bepaalde interne stukken van de bank en wezen op een vermeende inconsistentie met betrekking tot telefoonnummers. De rechter heeft die discussie in kort geding niet beslecht, maar zij toont wel het belang aan van een coherent, leesbaar en ook buiten de interne bankomgeving bruikbaar dossier.
Daarbij moet een belangrijke nuance worden gemaakt: het documenteren van authenticatie volstaat niet altijd. Waar mogelijk moet ook het bewijs van toestemming worden onderbouwd.
Een geauthenticeerde transactie is niet noodzakelijk een toegestane transactie. Maar een betwiste transactie is evenmin noodzakelijk een niet-toegestane transactie.
Ook de klant die zich beroept op een niet-toegestane transactie moet de aannemelijkheid daarvan kunnen aantonen. De rechtspraak, onder meer van het hof van beroep te Bergen, heeft herhaaldelijk bevestigd dat een loutere ontkenning niet volstaat. Er moet een coherent feitenrelaas bestaan dat verenigbaar is met de technische gegevens en de omstandigheden van het dossier.
Net daar zal het debat ten gronde zich afspelen: tussen het technisch bewijs van authenticatie, de reconstructie van het validatieproces en de aannemelijkheid van het ontbreken van toestemming.
3. De processtrategie aanpassen
Indien de benadering van de Antwerpse beschikking zou worden bevestigd — en hoewel de kortgedingrechter de spoedeisendheid steeds concreet moet beoordelen en niet louter uit een wettelijke bepaling mag afleiden — zal dit ook gevolgen hebben voor de processtrategie van banken.
Het klassieke schema is bekend: de bank weigert terug te betalen en verdedigt zich wanneer de klant een procedure opstart.
De logica van “eerst terugbetalen, daarna discussiëren” keert die dynamiek gedeeltelijk om. Banken kunnen ertoe worden verplicht onmiddellijk terug te betalen en vervolgens zelf te beslissen of zij een procedure ten gronde opstarten om de uitbetaalde bedragen terug te vorderen.
In kort geding worden de mogelijke verweermiddelen daardoor beperkter. De bank kan de spoedeisendheid betwisten, aanvoeren dat de voorwaarden van artikel VII.43 WER niet prima facie vervuld lijken, of zich beroepen op de uitzondering wegens fraude door de betaler wanneer deze correct aan de FOD Economie werd gemeld. Het kort geding is echter niet bedoeld als een volledige procedure over toestemming of grove nalatigheid.
Dat standpunt blijft evenwel voor discussie vatbaar.
Men kan immers verdedigen dat een rechter die oordeelt op basis van een voorlopig onderzoek van de feiten rekening moet kunnen houden met het volledige dossier. Indien grove nalatigheid van de betaler reeds manifest uit de stukken blijkt, kan men zich afvragen of het coherent is om toch een voorlopige terugbetaling te bevelen en de bank vervolgens naar een terugvorderingsprocedure te verwijzen.
De Antwerpse beschikking kiest voor een andere benadering: een dergelijk verweer reeds aanvaarden in het stadium van de onmiddellijke terugbetaling zou een uitzondering toevoegen aan artikel VII.43 WER die de wetgever niet heeft voorzien. Net dit punt kan nog aanleiding geven tot debat in hoger beroep of in een procedure ten gronde.
In de praktijk moeten banken zich daarom voorbereiden op twee mogelijke procedures.
De eerste is het kort geding: snel, gericht op de schijn van recht, de spoedeisendheid, de formele naleving van artikel VII.43 WER en de eventuele uitzondering wegens fraude door de betaler.
De tweede is de procedure ten gronde: technischer, sterker gericht op bewijsvoering en toegespitst op toestemming, grove nalatigheid, de chronologie van de feiten, de veiligheidsmaatregelen en het concrete gedrag van de klant.
In die tweede fase wordt de bank zelf eiser. Dat vereist een andere aanpak: bepalen welke dossiers worden voortgezet, de omvang van het financiële belang beoordelen, de sterkte van het bewijs inschatten, de invorderbaarheid evalueren en rekening houden met reputatierisico’s en mogelijke precedentswaarde.
Het dossier moet bovendien worden afgestemd op andere beschikbare instrumenten, zoals een strafklacht, een melding aan Card Stop, een eventuele blokkering van fondsen, contacten met de ontvangende bank en terugvorderingsacties tegen mule accounts of andere betrokken derden.
Terugvordering bij derden zal vermoedelijk aan belang winnen. Ook de toekomstige Payment Services Regulation (PSR) lijkt te evolueren naar een bredere responsabilisering van de technische en operationele keten, al zullen de precieze contouren nog moeten blijken uit de definitieve tekst en de concrete uitvoering ervan.
4. Operationele maatregelen en preventie: geschillen voorkomen aan de bron
De beste verdediging blijft uiteraard voorkomen dat de betwiste transactie überhaupt wordt uitgevoerd.
Dat veronderstelt in de eerste plaats een systeem voor realtime detectie dat, waar mogelijk, overschrijvingen met atypische kenmerken tijdelijk kan blokkeren vóór uitvoering: een nieuwe begunstigde, een ongewoon hoog bedrag, een atypische bestemming, een recente verhoging van limieten, een combinatie van ongebruikelijke transacties of gedrag dat afwijkt van het normale profiel van de klant.
Daarnaast zijn gerichte veiligheidsdrempels van belang: versterkte authenticatie voor bepaalde overschrijvingen, een bedenktijd na een verhoging van limieten, duidelijke waarschuwingen wanneer een transactie een verhoogd risico inhoudt en een betrouwbare registratie van dergelijke waarschuwingen.
De verificatie van de naam gekoppeld aan een IBAN, Verification of Payee, neemt hierbij een centrale plaats in. Sinds 9 oktober 2025 is deze controle verplicht binnen de eurozone, en dus ook in België, voor SEPA-overschrijvingen op grond van Verordening (EU) 2024/886. Uiteraard zal dit niet alle fraudevormen voorkomen, met name niet wanneer klanten worden gemanipuleerd door een valse bankmedewerker. Toch zal dit een belangrijk element van het bewijsdossier worden: welke informatie werd aan de klant verstrekt, welke eventuele afwijking werd gesignaleerd en welke beslissing werd ondanks die waarschuwing genomen?
Daarnaast verdienen ook andere initiatieven aandacht: een duidelijk en snel meldingskanaal voor phishing, schriftelijk vastgelegde en geharmoniseerde criteria inzake onvoorzichtig gedrag — zoals gevraagd door de minister bevoegd voor Consumentenbescherming — en specifieke procedures voor kwetsbare klanten.
Deze elementen zijn niet enkel relevant vanuit compliance-oogpunt. Zij worden ook steeds vaker belangrijke onderdelen van het bewijsdossier.
Vanuit governanceperspectief vereist het model van “eerst terugbetalen, vervolgens terugvorderen” ten slotte een nauwe afstemming tussen fraudeteams, juridische diensten, compliance-afdelingen en treasury. Er moet duidelijk worden bepaald wie beslist, binnen welke termijn, op basis van welke informatie, met welk goedkeuringsniveau en volgens welke criteria vervolgens een terugvorderingsactie wordt opgestart.
Wat banken moeten onthouden
Indien deze rechtspraak wordt bevestigd, zal een phishingdossier niet langer uitsluitend worden beslist door het antwoord dat aan de klant wordt gegeven. De uitkomst zal reeds in de eerste uren worden bepaald: door de kwalificatie van het dossier, een eventuele kennisgeving aan de FOD Economie, het veiligstellen van loggegevens, de samenhang van het bewijsdossier en de beslissing om al dan niet een terugvorderingsprocedure op te starten.
Het regelgevend kader in beweging: de evolutie is al ingezet
Eerst het heden
De Verification of Payee is niet langer toekomstmuziek. Sinds 9 oktober 2025 moeten betalingsdienstaanbieders binnen de eurozone die onder het toepassingsgebied van Verordening (EU) 2024/886 vallen, aan de betaler een dienst voor begunstigdenverificatie aanbieden voor zowel klassieke als onmiddellijke SEPA-overschrijvingen. Concreet houdt dit in dat de betaler wordt geïnformeerd over een volledige overeenstemming, een gedeeltelijke overeenstemming of een afwezigheid van overeenstemming tussen de naam van de begunstigde en het opgegeven IBAN-nummer.
De betaler kan een dergelijke waarschuwing negeren en de betaling toch uitvoeren. Het feit dat hij de transactie heeft bevestigd ondanks een melding van niet-overeenstemming zal echter een belangrijk element worden bij de beoordeling van het risico, de bewijsvoering en, in voorkomend geval, de vraag of sprake is van grove nalatigheid.
Vervolgens de nabije toekomst
In het voorjaar van 2026 heeft de Raad geavanceerde compromisteksten gepubliceerd in het kader van het PSD3/PSR-pakket. De Payment Services Regulation (PSR), die rechtstreeks toepasselijk zal zijn, is echter nog niet formeel aangenomen. Voorzichtigheid blijft daarom geboden wat betreft de definitieve nummering en de exacte formulering van de bepalingen. Toch zijn reeds twee duidelijke tendensen zichtbaar die voor banken bijzonder relevant zijn.
Voor niet-toegestane betalingstransacties blijft het principe van terugbetaling behouden, maar het compromis voorziet in een meer gestructureerd mechanisme. De betalingsdienstaanbieder zou beschikken over een termijn van vijftien werkdagen om terug te betalen of een weigering te motiveren wanneer objectief gerechtvaardigde elementen wijzen op mogelijke fraude door de betaler of op een opzettelijke dan wel grof nalatige schending van diens verplichtingen.
Vergeleken met de huidige termijn van één werkdag onder artikel VII.43 WER zou dit zowel een realistischer onderzoeksperiode bieden als mogelijk opnieuw ruimte creëren om reeds in een vroeg stadium rekening te houden met grove nalatigheid.
Voor fraude door identiteitsmisbruik (impersonation fraud of spoofing) richt het compromis zich specifiek op de consument die wordt gemanipuleerd door een derde die zich voordoet als zijn betalingsdienstaanbieder via communicatiekanalen die aan die aanbieder worden toegeschreven, en die daardoor een frauduleuze betaling heeft toegestaan. In dat geval zou de betalingsdienstaanbieder in beginsel volledig moeten terugbetalen, op voorwaarde onder meer dat de fraude zonder onnodige vertraging wordt gemeld en aangifte wordt gedaan bij de politie, behoudens fraude of grove nalatigheid van de consument.
De ontwerptekst past eveneens binnen een bredere tendens waarbij meer verantwoordelijkheid wordt gelegd bij de volledige technische en operationele keten, met name wanneer tekortkomingen van technische dienstverleners of preventiemechanismen hebben bijgedragen tot de schade. De precieze draagwijdte van mogelijke regresvorderingen tegen derden zal echter pas kunnen worden beoordeeld zodra de definitieve tekst is aangenomen en toegepast.
De timing laat nog enige voorbereidingstijd. De effectieve toepassing van de PSR wordt immers niet verwacht vóór eind 2027 of begin 2028. De richting is echter duidelijk: meer bescherming voor slachtoffers, ook bij fraudegevallen die vandaag vaak nog als “toegestane” transacties worden beschouwd. Daartegenover staat voor banken een realistischer onderzoekstermijn en een grotere nadruk op bewijsvoering, dossierselectie en terugvorderingsmechanismen.
De investeringen die hierboven werden besproken, zijn dan ook geen reactie op één geïsoleerde rechterlijke beslissing. Het zijn trajecten die banken hoe dan ook zullen moeten ontwikkelen.
Nummering en modaliteiten van de PSR onder voorbehoud van de definitieve tekst zoals gepubliceerd in het Publicatieblad van de Europese Unie.
Conclusie: de onzekerheid blijft bestaan, maar de financiële last wordt voorlopig voorgeschoten
De Antwerpse beschikking stelt geen definitieve aansprakelijkheid van banken vast. Zij hertekent wel de volgorde van het debat: eerst terugbetalen, vervolgens betwisten, waarbij het initiatief om verdere stappen te ondernemen bij de instelling wordt gelegd.
De onzekerheid is niet weggenomen; de financiële last ervan wordt voorlopig voorgeschoten.
Voor banken bestaat de echte uitdaging dan ook niet uitsluitend uit de vraag of zij ten gronde gelijk hebben. Zij kunnen over sterke juridische argumenten beschikken. Die argumenten moeten echter binnen de wettelijke termijn kunnen worden beoordeeld, onmiddellijk worden ondersteund door een degelijk dossier en vervolgens aanleiding geven tot een beslissing over een eventuele terugvorderingsactie.
De inzet is daarom niet louter juridisch. Zij is evenzeer organisatorisch, bewijsrechtelijk en processtrategisch van aard.
Daar, meer dan in het verhaal van een vermeende revolutie, zullen de toekomstige phishingdossiers worden beslist.
Dit artikel geeft de stand van zaken weer op de datum van publicatie. De analyse is gebaseerd op een niet-definitieve beschikking in kort geding, op conclusies van een advocaat-generaal die het Hof van Justitie niet binden, en op een ontwerptekst van de PSR die nog niet formeel is aangenomen.
Lees ook onze andere artikels over dit onderwerp.
Geef een reactie