Cyberfactuurfraude: aansprakelijkheid van de IT-leverancier

In het huidige digitale tijdperk is het haast niet meer denkbaar dat een overeenkomst enkel met pen en papier tot stand komt. Vaak corresponderen bedrijven digitaal over de totstandkoming van de overeenkomst, de uitvoering daarvan en uiteindelijk ook de facturatie. Waar het bedrijfsleven meegroeit met de digitalisatie, doen criminelen dat (helaas) ook. Steeds vaker hebben ondernemers te maken met factuurfraude door middel van een IT-hack.

#cybersecurity

Datum:  02 januari 2024

Gewijzigd  10 januari 2024

Geschreven door:  Daniek Regterschot

Leestijd:  +/- 4 minuten

Hoe werkt cyberfactuurfraude?

Een crimineel hackt het systeem van bijvoorbeeld een leverancier, onderschept een factuur en wijzigt het rekeningnummer. De afnemer betaalt vervolgens nietsvermoedend de frauduleuze factuur en de leverancier blijft onbetaald achter.

Maar wie is in deze situatie de gedupeerde? Is de afnemer gehouden om nog een keer te betalen aan de leverancier? Of ligt de hack in de risicosfeer van de leverancier zelf? En hoe zit het met de aansprakelijkheid van de IT-leverancier in een dergelijke kwestie? In dit artikel wordt antwoord gegeven op deze vragen. Daarnaast worden een aantal praktische tips gegeven ten aanzien van factuurfraude door een IT-hack.

Wie is de gedupeerde?

Eerder schreven wij al een blog over wie aansprakelijk is in het geval van factuurfraude. Kortgezegd komt dit neer op het volgende. Op grond van de wet geldt dat betaling aan een derde niet bevrijdend werkt tegenover de debiteur. Betaalt u aan de verkeerde, dan bent u in beginsel dus gehouden om nog een keer te betalen. Enkel in geval van bijzondere omstandigheden kan dit anders zijn. Het dient dan te gaan om dusdanig onzorgvuldig handelen van de schuldeiser, dat de onjuiste betaling niet aan de schuldenaar kan worden toegerekend.

Bijzondere omstandigheden bij cyberfactuurfraude

In de rechtspraak zijn inmiddels een aantal van deze bijzondere omstandigheden naar voren gekomen ten aanzien van cyberfactuurfraude. Zo is bijvoorbeeld van belang of de verzonden factuur afkomstig was van het correcte e-mailadres of dat de frauduleuze e-mails dezelfde bijlagen en onderwerpregel hadden als de eerder verstuurde correcte e-mails.

Daarnaast kan de verkeerde betaling onder omstandigheden niet worden toegerekend aan de schuldenaar, indien partijen voor het eerst zaken doen en de schuldenaar daarom geen vergelijkingsmateriaal had (ECLI:NL:PHR:2020:1128). Tot slot komt er een belangrijke rol toe aan de vraag binnen wiens invloedsfeer de fraude heeft kunnen plaatsvinden.

Aansprakelijkheid van de IT-leverancier

Mocht uit onderzoek blijken dat de hack is veroorzaakt door een lek in de beveiliging van uw onderneming, dan is het interessant om te onderzoeken of u hiervoor uw IT-leverancier aansprakelijk kan stellen. Of u de IT-leverancier aansprakelijk kan stellen, hangt af van de afspraken met deze leverancier. Zo is bijvoorbeeld van belang of de IT-leverancier verantwoordelijk is voor het in stand houden van een up-to-date beveiliging en of de leverancier behoorde te waarschuwen in geval van een ongeautoriseerde inlogpoging.

Het is ook mogelijk dat de IT-leverancier enkel een systeem aan u heeft geleverd, waarbij u zelf verantwoordelijk was voor een voldoende beveiliging en het toezicht daarop. Wat de verplichtingen zijn van uw IT-leverancier is vastgelegd in de gesloten overeenkomst en de eventuele toepasselijke algemene voorwaarden.

Naast de verplichtingen van de IT-leverancier, zijn de overeenkomst en de algemene voorwaarden ook van belang ten aanzien van de beoordeling van aansprakelijkheid. Vaak wordt de aansprakelijkheid namelijk beperkt. Zo kan het bijvoorbeeld zijn dat de IT-leverancier enkel aansprakelijk is voor directe schade, de aansprakelijkheid is beperkt tot een maximaal bedrag of de aansprakelijkheid van de IT-leverancier in zijn geheel is uitgesloten.

3 praktische tips

  1. Voorkomen is natuurlijk altijd beter dan genezen. Wanneer het bankrekeningnummer van uw schuldeiser (onverwachts) wijzigt, vraag dan telefonisch de bevestiging van het bankrekeningnummer. Indien u de bevestiging per e-mail vraagt, is de kans groot dat de hacker hier eveneens tussen zit en de bevestiging dus ook frauduleus is.
  2. Mocht u toch te maken krijgen met cyberfactuurfraude, laat dan altijd een IT-onderzoek uitvoeren door een onafhankelijke partij. Aan de hand van dergelijk onderzoek wordt duidelijk waardoor de fraude is veroorzaakt en kan het lek zo snel mogelijk worden gedicht.
  3. Maak duidelijke afspraken met de IT-leverancier. Is de leverancier verantwoordelijk voor de beveiliging? Zorg er dan voor dat dit duidelijk in de overeenkomst is opgenomen. Bekijk daarbij ook of de (mogelijke) aansprakelijkheidsbeperking voor uw onderneming acceptabel is. Is dergelijke beveiligingsverplichting niet opgenomen in de overeenkomst, tref dan zelf beveiligingsmaatregelen zodat uw onderneming voldoende beschermd is tegen een hack.

Lees meer praktische tips over het voorkomen van factuurfraude of het handelen na fraude dit artikel.


Blijf scherp

Cyberfactuurfraude is voor alle betrokken partijen erg vervelend. Wilt u advies over uw rechtspositie in geval van cyberfactuurfraude? Of heeft u vragen over de aansprakelijkheid van uw IT-leverancier? Neem dan contact op met een van onze advocaten gespecialiseerd in cybersecurity. Zij helpen u graag verder!

Meer over dit onderwerp: