Spookfactuur na een hack: telt de betaling?

Facturen worden via vaak e-mail verzonden. Een hacker kan dus gemakkelijk een spookfactuur sturen als hij het e-mailaccount van een leverancier gehackt heeft. Zo’n spookfactuur ziet er echt uit omdat er vaak gegevens op staan van een echte bestelling. De vraag is dan: telt de betaling van zo’n spookfactuur. Of kan de leverancier nog een keer betaling vragen?

Betaling van een spookfactuur bevrijdend?

De betaling van een spookfactuur is heel vervelend voor beide partijen. Er is namelijk meestal geen opzet in het spel. Een hack kan iedereen overkomen. Al is er achteraf gezien altijd wel een reden aan te wijzen voor de hack. Dit is dan ook niet zozeer een kwestie van schuld. De vraag is wie het risico van de fout moet dragen.

De Hoge Raad is daarin vrij stellig. Uitgangspunt is dat de schuldeiser zich erop kan beroepen dat de spookfactuur vals is. Ook als de schuldenaar mocht aannemen dat de factuur echt was. Van dat uitgangspunt kan de rechter afwijken als aan de schuldeiser te wijten is dat de spookfactuur voor echt werd gehouden. De rechter kan echter ook besluiten het risico te delen. Lees: dat bijvoorbeeld nog de helft van de factuur betaald moet worden.

Het klinkt wellicht vrij cru voor de betalende partij. Die kan er namelijk ook niets aan doen dat hij een valse factuur krijgt. Er zit echter wel een zekere logica achter dit oordeel. Op de schuldenaar rust namelijk de verplichting om bevrijdend te betalen. Hij moet er dus voor zorgen dat hij op het juiste rekeningnummer betaalt. De schuldenaar draagt ook de bewijslast daarvan. De Hoge Raad verwacht daarom van de schuldenaar dat hij goed oplet aan wie hij betaalt.

De schuldenaar komt alleen onder zijn verplichting uit als hij: (1) aantoont dat hij de factuur voor echt mocht houden, (2) dat aan de schuldeiser te wijten is.

Mag de schuldenaar ervan uitgaan dat de spookfactuur echt is?

Voor deze vraag zijn alle omstandigheden van belang. Van de schuldenaar wordt een zekere oplettendheid verwacht. Het kan echter zijn dat de spookfactuur veel lijkt op een echte factuur. Consistentie is een belangrijke factor: wijkt de spookfactuur af van de andere facturen? Als dat zo is dan moet de schuldeiser extra oplettend zijn. Bijvoorbeeld:

  • Is er sprake van een langdurige relatie? Als er voor het eerst een factuur wordt gestuurd, dan kan de spookfactuur niet met een eerdere factuur vergeleken worden.
  • Gebruikt de schuldeiser normaal gesproken altijd hetzelfde bankrekeningnummer? Als op de spookfactuur ineens een ander IBAN nummer staat is dat een signaal dat de schuldenaar extra oplettend moet zijn.
  • Waarom is het rekeningnummer aangepast? De fraudeur geeft vaak een reden waarom ineens op een andere bankrekening betaald moet worden. Is die reden geloofwaardig?
  • De algemene opmaak en taalgebruik op de factuur en de communicatie. Als de factuur of de begeleidende e-mail in gebrekkig Nederlands is geschreven, dan is dat een signaal.
  • Staat er een buitenlands rekeningnummer op de spookfactuur? Met name als normaal op een Nederlands bankrekening betaald wordt, is dat een signaal om oplettend te zijn.

Toerekenbaarheid schuldeiser

De tweede vraag is of het aan de schuldeiser toerekenbaar is dat de spookfactuur voor echt is gehouden.  Een omstandigheid is toerekenbaar als die is veroorzaakt door schuld of een andere oorzaak die volgens de wet of gewoonte voor zijn rekening komt. Schuld betekent dat de partij verwijtbaar heeft gehandeld. De andere oorzaak is vaak een soort risicoaansprakelijkheid. Bijvoorbeeld aansprakelijkheid voor (verwijtbaar) gedrag van een werknemer.

Het lijkt logisch dat een hack altijd toerekenbaar is aan de persoon die gehackt is. De praktijk is echter weerbarstig. De schuldeiser zal namelijk ten eerste moeten aantonen dat er sprake is van een hack. In dit geval: dat hij daadwerkelijk een e-mail heeft ontvangen vanuit het e-mailaccount van de ander. De e-mail kan namelijk ook gefingeerd zijn, of afkomstig zijn van een gespoofd e-mailadres (spoofen is het vervalsen van specifieke eigenschappen van een e-mail, zodat het lijkt alsof die verzonden is door een ander persoon).

Verwijtbaarheid aantonen is ook niet makkelijk. Daarvan is namelijk pas sprake als de hack is ontstaan doordat de schuldeiser een fout heeft gemaakt. Bijvoorbeeld als de schuldeiser onvoldoende beveiligingsmaatregelen heeft genomen. De schuldenaar beschikt vaak ook niet over alle benodigde informatie. Dat maakt het extra lastig.

Tot slot

De schuldeiser heeft dus een sterke juridische uitgangspositie. Er spelen echter ook andere factoren mee, zoals het behoud van de relatie. Bovendien is het de vraag of het bedrag in verhouding staat tot de juridische kosten. Wilt u advies over betaalde spookfacturen? Neem contact op met Stephan Mulders, advocaat te Amsterdam. s.mulders@vandiepen.com