Consument slachtoffer van phishing, ondernemer kan geen verwijt gemaakt worden

De Geschillencommissie




Commissie: Thuiswinkel    Categorie: Annulering overeenkomst / Betaling    Jaartal: 2024
Soort uitspraak: bindend advies   Uitkomst: Ongegrond   Referentiecode: 237333/249005

De uitspraak:

Waar gaat de uitspraak over?

De consument is slachtoffer geworden van ‘phishing’, waarbij haar creditcard onterecht is gebruikt voor een bestelling bij de ondernemer. De consument verwijt de ondernemer de bestelling niet te hebben tegengehouden. De ondernemer voert daartegen aan dat de bestelling – zonder bestelnummer en bedrag – niet vindbaar was. De commissie is van oordeel dat de ondernemer in dit geval geen verwijt gemaakt kan worden. De klacht is ongegrond. Hierna wordt verder uitgelegd waarom.

De uitspraak

Behandeling van het geschil
Partijen zijn overeengekomen dit geschil bij bindend advies door de Geschillencommissie Thuiswinkel (verder te noemen: de commissie) te laten beslechten.

De commissie heeft kennis genomen van de overgelegde stukken.

De commissie stelt vast dat de klacht tijdig is ingediend.

De behandeling heeft plaatsgevonden te Utrecht op 27 maart 2024. De consument heeft ter zitting (videoconferentie) de klacht toegelicht. De ondernemer heeft geen gebruik gemaakt van de mogelijkheid ter zitting zijn standpunt toe te lichten.

De consument werd ter zitting vertegenwoordigd door mevrouw mr. [naam] ([rechtsbijstandverzekeraar]).

Onderwerp van het geschil
Het geschil vloeit voort uit een op 4 juli 2023 met de ondernemer tot stand gekomen overeenkomst. De overeenkomst is gesloten naar aanleiding van een met de creditcard van de consument uitgevoerde betaling. De ondernemer heeft zich daarbij verplicht tot het leveren van diverse zaken voor de som van € 2.839,–. De levering heeft op of omstreeks dezelfde datum plaatsgevonden.

De consument heeft de klacht eerst voorgelegd aan de ondernemer.

Standpunt van de consument
Voor het standpunt van de consument verwijst de commissie naar de overgelegde stukken. In de kern komt het standpunt op het volgende neer.

Ik ben slachtoffer geworden van phishing, waarbij mijn creditcard onterecht is gebruikt voor een bestelling bij de ondernemer voor een bedrag van € 2.869,–. Ik heb de ondernemer meermaals gevraagd om de bestelling tegen te houden en te annuleren, omdat ik hiervoor immers geen opdracht heb gegeven. Al binnen 30 minuten na het plaatsen van de bestelling door de oplichter heb ik hierover de klantenservice gesproken, namelijk op 4 juli 2023 om 10.57 uur. Vervolgens heb ik de klantenservice op dezelfde dag om 12.09 uur gesproken. Beide keren is dit geweest op dringend advies van mijn bank, omdat de ondernemer op dat moment als enige de afschrijving had kunnen tegenhouden. Het bedrag is pas op 6 juli 2023 uit de “reservering” gehaald bij de Creditcard van mijn bank. Mijn bank geeft aan dat de ondernemer tot dat moment, dus tot het uit de reservering halen van het bedrag op 6 juli 2023, de tijd heeft gehad om het bedrag te retourneren aan de rechtmatige eigenaar en dat ben ik. Helaas heeft de ondernemer hieraan geen gehoor gegeven. Gelet op het feit dat ik geen opdracht heb gegeven voor genoemde bestelling moet de ondernemer het betaalde bedrag van € 2.839,– retourneren.

Ik ben van mening dat de ondernemer ten onrechte niets heeft gedaan om de bestelling te stoppen en de afschrijving te voorkomen. Daarnaast wijst de ondernemer het verzoek om terugbetaling van het afgeschreven bedrag steeds op verschillende gronden af. Dit terwijl deze gronden, bij nader inzien, ook nog eens onjuist blijken te zijn. Ook geeft de ondernemer aan dat zij persoonsgegevens onder andere gebruikt voor fraudebescherming en ter uitvoering van overeenkomsten met de klant. In het privacyreglement staat hierover: Wij gebruiken je persoonsgegevens voor de volgende doelen:

  • De uitvoering van overeenkomsten met jou
  • Bescherming van onze eigendommen en fraudebestrijding

Ik heb uitdrukkelijk en tijdig verzocht om de levering tegen te houden. Gelet op de doelen, de aangehaalde privacywetgeving en de persoonsgegevens mocht en kon de ondernemer dit dus uitvoeren. Bovendien heb ik de ondernemer verzocht om gebruik te maken van haar gegevens. De ondernemer kan daarom niet zeggen zonder ordernummer niets te kunnen. De ondernemer heeft op basis van mijn persoonsgegevens de afschrijving niet kunnen of willen voorkomen op het moment dat ik hierover belde, en de afschrijving nog niet was gedaan. Het feit dat ik, in alle hectiek, een foutief bedrag doorgaf, maakt de kwestie niet anders. De ondernemer geeft immers in haar mails tot twee keer toe aan dat zij zonder ordernummer niets kon betekenen op het moment dat ik belde. Op het afschrift van de creditcard staat ook geen bestelnummer of ordernummer, zoals de ondernemer stelt. Ik kon dus ook niets anders doorgeven dan naam, creditcardnummer en adres. De ondernemer was dus bekend met deze gegevens en bekend met mijn verzoek op 4 juli. Ook was de ondernemer bekend met het bedrag en het creditcardnummer en er was voldoende tijd om de bestelling/betaling te annuleren. Dit heeft de ondernemer verzuimd.

Ter zitting heeft de consument desgevraagd verklaard zelf geen account te hebben bij de ondernemer.

De consument verlangt een vergoeding van € 2.839,–.

Standpunt van de ondernemer
Voor het standpunt van de ondernemer verwijst de commissie naar de overgelegde stukken. In de kern komt het standpunt op het volgende neer.

Het is spijtig dat de consument het slachtoffer is geworden van phishing. Zonder een ordernummer (wat ook vermeld staat in de mededeling bij de bank), kunnen wij een order niet annuleren. Wij kunnen ook niet zoeken op rekeningnummer (volgens de GDPR wetgeving). Het is voor ons bijgevolg ook niet mogelijk om het bedrag  terug te storten. De consument moet zich wenden tot haar bank, de politie en de creditcard maatschappij (aankoopverzekering).

Toen we een afschrift van de credit card rekening ontvingen hebben wij het ordernummer kunnen terug vinden. De reden waarom wij deze transactie aanvankelijk niet terug konden vinden, is omdat er melding gemaakt is van € 2.869,– en het over € 2.839,– gaat. Het was dus voor ons onmogelijk om deze bestelling tegen te houden.

Beoordeling van het geschil
De commissie heeft het volgende overwogen.

Tussen partijen is niet in geschil dat de consument het slachtoffer lijkt te zijn geworden van phishing en dat de consument het CVC-nummer van haar creditcard aan een ander heeft meegedeeld. Ook is niet in geschil dat de consument zodra zij in de gaten had dat zij was opgelicht telefonisch contact heeft opgenomen met de ondernemer en dat de door de oplichter bestelde producten nog niet waren afgeleverd. De goederen zijn pas later verzonden terwijl het met de bestelling gemoeide bedrag enige tijd ‘gereserveerd’ is en pas later is vrijgegeven.

Het geschil betreft de vraag of de ondernemer de aflevering van de betreffende producten had dienen te voorkomen.

Naar het oordeel van de commissie treft de ondernemer in deze geen blaam. De ondernemer verzendt dagelijks vele digitaal bestelde producten. De verzending geschiedt via een geautomatiseerd proces zonder menselijke tussenkomst en daarbij geldt dat de tijd tussen bestelling en uitlevering zo beperkt mogelijk dient te zijn. Aldus kan de ondernemer niet alle op dat moment nog niet uitgevoerde bestellingen opschorten om rustig op zoek te gaan naar een kennelijk frauduleuze bestelling.

Wil de ondernemer een bestelling lokaliseren dan dient de ondernemer over voldoende relevante gegevens te beschikken, zoals een ordernummer en/of het te betalen bedrag. In dit geval staat vast dat de consument niet over een ordernummer kon beschikken. Ook heeft de consument in eerste instantie een onjuist bedrag dat met de bestelling was gemoeid doorgegeven doordat zij het bedrag van de betreffende order heeft verhoogd met het bedrag van een andere creditcardtransactie. Het betekende dat de ondernemer weinig aanknopingspunten had. De bestelling wordt in een geval als dit niet naar het woonadres van de consument gezonden en omdat het mogelijk is iemand anders schuld te voldoen biedt ook de betalingswijze weinig aanknopingspunten.

In de visie van de commissie had de consument er goed aangedaan haar bank c.q. creditcardmaatschappij aan te spreken. Het met de bestelling gemoeide bedrag stond immers in reservering. De bank c.q. creditcard maatschappij had de creditcard kunnen blokkeren en daarvan mededeling kunnen doen aan de ondernemer. Dat had waarschijnlijk tot gevolg gehad dat het gereserveerde bedrag van de frauduleuze order niet meer kon worden afgeboekt van de creditcardrekening van de consument en dat de ondernemer de order had geannuleerd. Daarbij komt dat aan een creditcardrekening in de regel een verzekering is gekoppeld. Mogelijk was dan de order wel uitgevoerd door de ondernemer, maar had de consument de nadelige gevolgen daarvan niet ondervonden vanwege de creditcardverzekering.

De commissie adviseert de consument zich alsnog c.q. wederom te wenden tot haar bank en anders tot Kifid, het klachteninstituut financiële dienstverlening.

De commissie is derhalve van oordeel dat de klacht ongegrond is.

Derhalve wordt als volgt beslist.

Beslissing
Het door de consument verlangde wordt afgewezen.

Aldus beslist door de Geschillencommissie Thuiswinkel, bestaande uit de heer prof. mr. A.W. Jongbloed, voorzitter, de heer mr. S.L.R. van Nuijs, mevrouw mr. A. Dantuma, leden, op 27 maart 2024.