AllesContractenrecht

Betalen van vervalste factuur aan hacker. Bevrijdend betaald? Of (nogmaals) betalen?

By 2 augustus 2021 No Comments

Bedrijven krijgen steeds vaker te maken met malafide organisaties of individuen die hun bedrijf digitaal binnendringen. Dat kan vaak hele vervelende gevolgen hebben. Zo kan een hacker met gijzelsoftware bedrijven compleet platleggen (‘ransomware-aanvallen’) en kan een hacker zich voordoen als een medewerker en vervalste betaalinstructies aan afnemers en andere klanten versturen. In de situatie die onlangs bij de Hoge Raad voorlag, betaalde de koper een bedrag van € 363.394,13 aan een hacker terwijl de koper dacht dat het om een factuur van de verkoper ging. Oeps… De juridische vraag rijst wie het risico draagt wanneer de koper een dergelijke vervalste factuur betaalt aan een ander dan de verkoper. Heeft de koper met andere woorden bevrijdend betaald? Of moet de koper de factuur van de verkoper alsnog (nogmaals) betalen? Lees hieronder verder!

Betalen van vervalste factuur aan hacker

In deze zaak had de verkoper van een bestelling metalen per e-mail de factuur aan de koper gestuurd voor het overeengekomen bedrag van € 363.394,13. Luttele minuten later ontvangt de koper opnieuw een factuur vanaf hetzelfde e-mailadres waarin wordt gesteld dat een fout is gemaakt en dat een nieuwe factuur gestuurd zal worden. Die nieuwe factuur volgt inderdaad spoedig in een derde e-mail. Je voelt het al aan: de tweede en de derde e-mail zijn van een hacker afkomstig en in de nieuwe factuur staat – uiteraard – het bankrekeningnummer van de hacker.

De koper betaalt de factuur van de hacker niet wetende dat deze betaling niet aan de verkoper maar aan de hacker is. De verkoper is ‘not amused’ en eist alsnog betaling van zijn factuur. De verkoper heeft immers zijn geld nooit ontvangen. De koper is het hiermee oneens en stelt bevrijdend betaald te hebben. De koper is met andere woorden niet van plan nogmaals te betalen. Het komt tot een lange procedure…

De Hoge Raad aan het woord

De Hoge Raad overweegt dat het uitgangspunt is dat de gehackte onderneming (hier: de verkoper) zich er in beginsel op kan beroepen dat de vervalste verklaring (factuur) niet van hem afkomstig is. Hij heeft de vervalste factuur immers niet verstuurd. Dat geldt ook indien de geadresseerde partij (hier: de koper) redelijkerwijs mocht aannemen dat de verklaring authentiek was en dus van de verkoper afkomstig was. De gehackte verkoper lijkt dus aan het langste eind te trekken. Maar dit uitgangspunt geldt niet wanneer het aan de gehackte partij zelf te wijten is of aan hem toegerekend kan worden dat de wederpartij de vervalste verklaring voor echt heeft gehouden.

Dus: als niet duidelijk is dat sprake is van een vervalsing, dan zal de gehackte onderneming in beginsel betaling kunnen vorderen. Dit uitgangspunt kan en zal terzijde worden geschoven als het aan de gehackte onderneming kan worden toegerekend dat zijn wederpartij de factuur (en de e-mail) voor authentiek heeft aangenomen. 

Wanneer moet de gehackte onderneming (opnieuw) betalen?

Maar wanneer kan het aan de gehackte onderneming (de verkoper) worden toegerekend dat zijn wederpartij (de koper) de factuur en de e-mails voor authentiek heeft aangenomen? Dan kan als – bijvoorbeeld – sprake is van de volgende omstandigheden:

  • de vervalste e-mail is gestuurd vanuit hetzelfde e-mailadres dat eerder door de verkoper is gebruikt;
  • het onderwerp is steeds hetzelfde gebleven (geen ‘gekke’ onderwerpen);
  • er geen vast rekeningnummer is gebruik voor eerdere bestellingen;
  • de opmaak van de facturen en de tekst van de e-mail/facturen is niet ineens anders of fout zodat de koper iets moest veronderstellen;
  • en uiteraard de wel of niet genomen voorzorgsmaatregelen om te voorkomen dat een derde in staat is zich voor de onderneming uit te geven (zoals beveiligingsmaatregelen).

In deze zaak overwoog de Hoge Raad dat de gehackte verkoper aan het kortste eind trekt. Naar de mening van de Hoge Raad heeft de koper bevrijdend betaald en hoeft de koper dus niet (opnieuw) te betalen. Maar zoals hiervoor is beschreven, is het volledig afhankelijk van de concrete omstandigheden van het geval. Als die omstandigheden in deze zaak anders waren geweest, dan had het zomaar gekund dat de koper nogmaals had moeten betalen.

Risicoverdeling

Tot slot merkt de Hoge Raad op dat een rechter risicoverdeling kan toepassen. Dit lijkt ons ook billijk aangezien twee partijen getroffen worden door het handelen van een hacker en van beide partijen mag een bepaalde mate van oplettendheid worden verwacht. Het zou in een procedure dus goed kunnen dat de rechter rekening houdt met een risicoverdeling en dus met een financiële verdeling.

Het arrest van de Hoge Raad is via de volgende link te raadplegen: arrest.

Belang voor de praktijk

Het arrest is van zeer groot belang voor de handelspraktijk waarin het doorgaans om grote bedragen gaat. Enerzijds moeten bedrijven (zoals kopers) betalingen goed controleren aangezien een betaling aan een hacker of een fraudeur in beginsel voor rekening en risico van de betaler komt. Maar ook verkopers zijn gewaarschuwd: als hun systemen niet goed beschermd zijn en/of als sprake is van andere omstandigheden zoals hiervoor vermeld, dan kan de betaling als bevrijdend kwalificeren en kun je dus met lege handen komen te staan! En dit laatste heeft zich in deze zaak voorgedaan.

Vragen?

Wij hebben veel ervaring in handelsgeschillen. Neem vooral vrijblijvend contact met ons op.

Legal8 Advocaten

2 augustus 2021