Bunq moet een klant die het slachtoffer werd van fraude via een aan zijn bankrekening gekoppelde Google Pay-wallet het schadebedrag van 5.000 euro vergoeden. Dat las ik bij Security.nl. Dit omdat ze niet kan laten zien hoe Google Pay bij deze consument ooit überhaupt in gebruik was genomen.

Hoofdregel bij betalingen is dat de bank, en niet de consument, aansprakelijk is voor niet-toegestane betalingstransacties. Dat wordt alleen anders als de bank kan aantonen dat de consument “frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid” (art. 7:529 BW).

De klant hier zag dat er meerdere betalingen met een totaalbedrag van 5.000 euro uitgevoerd waren, waarvoor hij stelde geen toestemming te hebben gegeven. Na onderzoek stelde de bank vast dat het ging om betalingen via Google Pay, en een dergelijke koppeling kan alleen met toestemming zijn gedaan.

Goed, zegt het Kifid, bewijs maar dat die toestemming is gegeven:

Heeft de heer [consument] toestemming gegeven voor de koppeling aan Google Pay? Waar blijkt dat uit? Graag ontvang ik de relevante informatie uit uw administratie, waaruit blijkt met welk apparaat en vanaf welk IP-adres eventuele toestemming is verleend.

Op dat verzoek kwam echter nul reactie, zodat de geschillencommissie concludeert dat er sprake is van een niet-toegestane transactie:

Omdat de bank geen bewijs heeft geleverd van een rechtsgeldige koppeling van de betaalpas aan Google Pay, kan zij ook niet aantonen dat de consument heeft ingestemd met de latere Google Pay-betalingen. Daarom moet de commissie het ervoor houden dat sprake is van niet-toegestane betalingstransacties.

Dan komt dus de vervolgvraag: was hier sprake van fraude, opzet of bewuste roekeloosheid bij de consument? Daar kun je serieuze vragen bij stellen, want het is vrij onlogisch dat een hacker van buitenaf bij iemand Google Pay activeert en er dan mee gaat betalen zonder dat je daar iets van merkt.

Alleen:

Echter, nu de bank niet heeft aangetoond dat de betaalpas is toegevoegd op de overeengekomen wijze, zou het onaanvaardbaar zijn van de consument te verlangen dat hij zulk inzicht geeft.

Dit is het juridisch equivalent van aan de noodrem trekken. Art. 6:248 BW bepaalt dat een regel, wet of afspraak tussen twee partijen niet geldt wanneer “dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.”

De commissie zegt hier dus: het is onaanvaardbaar dat de consument moet laten zien niet nalatig te zijn geweest als de bank niet eens kan laten zien hoe Google Pay is geactiveerd en vanaf welk apparaat, IP adres en dergelijke.

Arnoud