Logo
  • Opinie
  • 31 augustus 2021

Factuurfraude! Wie is verantwoordelijk?

Factuurfraude is een actueel probleem. Oplichters vissen een factuur uit de brievenbus, veranderen het rekeningnummer en stoppen de factuur terug in de bus. In het huidige digitale tijdperk ziet men steeds vaker dat cybercriminelen een e-mailaccount hacken om digitale facturen te onderscheppen en het rekeningnummer op de factuur te wijzigen. De klant maakt vervolgens in goed vertrouwen het bedrag over naar het door de cybercriminelen gewijzigde rekeningnummer en de leverancier blijft wachtend op de betaling achter. De hamvraag is wie in dat geval de schade draagt: de klant, de leverancier of beiden? In een recent arrest heeft de Hoge Raad zich uitgesproken over deze vraag.

Hascor B.V. en Yildirim Holding A.S. zijn actief in de internationale handel in metalen en doen al jarenlang zaken met elkaar volgens een vaste werkwijze: Hascor plaatst een bestelling bij Yildirim waarop Yildirim een dochtervennootschap aanwijst die de bewuste overeenkomst met Hascor zal uitvoeren en de bestelde materialen zal leveren. In dit geval heeft Yildirim dochtervennootschap Devante Minerals Trading Ltd. aangewezen. Devante heeft per e-mail de verzenddocumentatie en een factuur aan Hascor toegezonden. Een kwartier later volgde vanaf hetzelfde e-mailadres een tweede e-mail. In deze tweede e-mail stond dat de eerste e-mail genegeerd moest worden en dat de correcte verzenddocumentatie en factuur spoedig opgemaakt en verstuurd zouden worden. Deze e-mail werd even later gevolgd door een derde e-mail vanaf hetzelfde e-mailadres, wederom voorzien van verzenddocumentatie en een – naar later blijkt – valse factuur, met het verzoek voor betaling daarvan zorg te dragen. Hascor heeft het verschuldigde bedrag enkele dagen later betaald op het in de vervalste factuur aangewezen bankrekeningnummer. Hascor heeft daarbij niet gecontroleerd wat er in vergelijking met de eerder toegezonden verzenddocumentatie is aangepast en evenmin is zij nagegaan of de factuur is gewijzigd. Bij gelegenheid van een volgende bestelling bij Devante heeft Hascor wederom een bedrag overgemaakt naar de bankrekening die op de vervalste factuur vermeld stond. Kort daarna werd het Hascor duidelijk dat het niet om het bankrekeningnummer van Devante of een andere dochtervennootschap van Yildirim ging en dat de e-mails met facturen waarop dit bankrekeningnummer was weergegeven niet door Devante of Yildirim waren verzonden. Hascor kon de tweede betaling nog storneren, maar de eerste betaling niet meer. Hascor weigerde om het factuurbedrag nog een keer aan Devante te voldoen. Devante heeft Hascor vervolgens in rechte betrokken en betaling van het factuurbedrag gevorderd. Hascor verweerde zich door te stellen dat zij bevrijdend heeft betaald aan de factuurvervalsers.

Het geschil

De Rechtbank Gelderland oordeelde dat de betaling aan de cybercriminelen niet als een bevrijdende betaling kon worden aangemerkt. Het Hof Arnhem-Leeuwarden oordeelde daarentegen dat deze betaling wel bevrijdend was. De Hoge Raad gaat daarin mee. Voor de beoordeling van dit geval grijpt de Hoge Raad terug op zijn eerdere rechtspraak, namelijk het nog uit 1992 stammende arrest Kamerman/Aro Lease (ECLI:NL:HR:1992:ZC0498) waarin de kwestie van een vervalste handtekening centraal stond. De Hoge Raad oordeelde destijds dat, wanneer een handtekening is vervalst, degene wiens handtekening is vervalst, in beginsel een beroep kan doen op deze vervalsing, met het resultaat dat hij niet wordt gebonden jegens zijn wederpartij. In bijzondere gevallen kan dit - gelet op artikel 3:35 BW, artikel 3:36 BW en artikel 3:61 lid 2 jo. artikel 6:147 BW - echter anders zijn. De Hoge Raad past deze rechtsregel nu ook toe op andere gevallen van identiteitsfraude, zoals in deze zaak het wijzigen van het rekeningnummer op de factuur.

De hoofdregel uit het arrest Kamerman/Aro Lease moet worden losgelaten wanneer aan de gehackte partij (Devante), geheel of ten dele kan worden toegerekend dat de wederpartij (Hascor) de vervalste verklaring voor echt heeft gehouden en redelijkerwijs mocht houden. De Hoge Raad accepteert in dit arrest de volgende concrete omstandigheden waarop toerekening aan de gehackte partij zou kunnen worden gebaseerd: (a) de vervalste e-mails waren afkomstig van het e-mailadres dat ook bij eerdere bestellingen werd gebruikt om facturen te verzenden; (b) in het verleden werd geen vast rekeningnummer gehanteerd (de aangewezen bank en het rekeningnummer verschilden per bestelling); (c) de opmaak van facturen was in het verleden niet steeds hetzelfde; (d) het was niet ongebruikelijk dat (verzend)documentatie tussentijds door de leverancier werd aangepast; en (e) Devante heeft, ondanks het verstrijken van de betalingstermijn van vijf werkdagen na het verzenden van de factuur, Hascor pas na enkele weken gewezen op het verstrijken van de betalingstermijn terwijl het storneren van de betaling door Hascor op dat moment niet meer mogelijk was. De Hoge Raad vult nog aan dat bij de beoordeling van de omstandigheden onder meer een rol kan spelen in hoeverre de gehackte partij adequate voorzorgsmaatregelen heeft getroffen om te voorkomen dat een hacker zich voor de gehackte partij kan uitgeven.

Tot slot benadrukt de Hoge Raad dat de rechter ook tot de conclusie kan en mag komen dat het gewekte vertrouwen slechts deels kan worden toegerekend aan een van de partijen, in welk geval het (financiële) risico dus ook slechts deels op die partij rust, en voor het andere deel op de bedrogen wedepartij. Dat is een nieuw element ten opzichte van het arrest Kamerman/Aro Lease. De Hoge Raad maakt hiermee duidelijk dat de rechter kan afwijken van een “alles of niets-aanpak” en het (financiële) risico tussen partijen kan worden verdelen als de concrete omstandigheden daartoe aanleiding geven. Deze meer genuanceerde aanpak lijkt mij redelijk omdat van beide partijen een zekere oplettendheid mag worden verwacht teneinde de criminele praktijken van hackers het hoofd te bieden. De Hoge Raad laat het oordeel van het hof dat sprake is van bijzondere omstandigheden in stand: Hascor heeft met het voldoen van de factuur aan de hackers bevrijdend betaald en hoeft niet nogmaals aan Devante te betalen.

Conclusie

In deze zaak trok de gehackte leverancier aan het kortste eind: de omstandigheden leidden in dit geval tot de conclusie dat de klant bevrijdend heeft betaald aan de cybercriminelen. Hoofdregel bij factuurfraude is en blijft echter dat het betalen van een vervalste factuur voor rekening en risico komt van de betaler. Van de betaler wordt nu eenmaal verwacht dat hij de factuur op juistheid controleert. Slechts onder bijzondere omstandigheden kan bevrijdend worden betaald door de klant. Hoe dan ook geldt dat voorkomen beter is dan genezen. Het verdient te allen tijde aanbeveling om niet klakkeloos tot betaling over te gaan, maar aan de bel te trekken als men iets vreemds of afwijkends constateert rondom de (ontvangst van de) factuur.

Producttips

Volg F-Facts

Word gratis lid en ontvang op dinsdag en donderdag het laatste facility nieuws in uw mailbox! Én als lid krijgt u ook toegang tot exclusieve online artikelen.

Word lid van F-Facts Facility Platform