Zaterdag 03/06/2023

GetuigenissenBanken

‘Zo eindigt je leven dan: kaalgeplukt door criminelen, en in de steek gelaten door de bank waar je je hele leven klant bent geweest’

In de steek gelaten door de bank: ‘Ik ben niet alleen het geld kwijt, maar ook mijn vader.’ Beeld Getty Images
In de steek gelaten door de bank: ‘Ik ben niet alleen het geld kwijt, maar ook mijn vader.’Beeld Getty Images

4 op de 10 Belgen hebben al te maken gehad met phishing, zo bleek vorig jaar uit een enquête van de federale politie. Onlinecriminelen gebruiken nagemaakte websites, valse sms’jes en andere verfijnde trucs om toegang te krijgen tot de rekeningen van nietsvermoedende slachtoffers en ze leeg te plunderen. En de banken? Die laten hun klanten stikken. ‘Bij mijn vader is dat bijna letterlijk gebeurd’, vertelt Rudi D. ‘Hij viel een paar dagen later dood van de stress.’

Annemie Bulte

Woensdagmiddag 25 maart 2020, een frisse lentedag in Antwerpen. De kranige 89-jarige Gaston D. groet zijn buurvrouw op de stoep en stapt op de fiets voor zijn wekelijkse tochtje van 50 kilometer. Vanwege de pas afgekondigde coronamaatregelen gaat hij alleen op pad, niet met zijn tien jaar jongere fietsmaten – die rijden allemaal elektrisch, maar dat vindt Gaston voor watjes.

Het is stralend weer, maar de weduwnaar heeft er minder zin in dan anders. Enkele dagen geleden heeft hij de schok van zijn leven gehad. Zaterdagmiddag belde de securityafdeling van zijn bank hem op: ‘Weet u dat uw rekeningen zo goed als allemaal zijn leeggehaald, meneer? Nee? Ah, dan bent u het slachtoffer van phishing geworden.’

Fraudeurs waren via een listige truc achter zijn bankgegevens gekomen en hadden in een paar uur tijd zijn rekeningen leeggehaald, ook die waarop hij al een aardige som voor zijn kleinkinderen had bijeengespaard. Gaston, die zijn hele leven hard gewerkt heeft en over enkele maanden zijn 90ste verjaardag zal vieren, is in één klap 100.000 euro kwijt. Zijn hele spaarpot.

Lees ook

Hoe firma’s ‘kloteklanten’ aan het lijntje houden: ‘Eens de buit binnen is, mag een klant vooral niet te veel kosten’

‘Hij belde me die zaterdagmiddag, totaal overstuur’, vertelt zijn zoon Rudi.

Rudi D.: “Eerst was ik boos omdat hij zich had laten rollen, maar hij zat in zak en as. ‘Ik ben altijd zo voorzichtig geweest op financieel vlak,’ zei hij, ‘en op mijn oude dag overkomt me dit.’ Er stond nog 1.600 euro op zijn rekening.

“We hebben aangifte gedaan bij de politie en zijn naar de bank gestapt om een dossier te openen. Sinds 2018 is er een nieuwe wet: als een klant het slachtoffer wordt van fraude of phishing, moet zijn bank dat onmiddellijk compenseren. Er is één uitzondering: wanneer er bij die klant sprake is van ‘grove nalatigheid’. Natuurlijk zinspeelde de bank daarop. Volgens de bank was mijn vader zo stom geweest om zijn pincode aan de fraudeurs te geven. Wat hij, voor de duidelijkheid, níét had gedaan.

“Hij voelde zich verloren. Bovendien was de lockdown net ingegaan en kwam hij niet meer buiten. Op één keer na, om te gaan winkelen in de Delhaize. Maar de bank had hem niet verteld dat ze zijn zichtrekening met de resterende 1.600 euro hadden geblokkeerd. Dat werd pas duidelijk toen hij met een volle boodschappenmand aan de kassa stond – en alles moest teruggeven. Hij voelde zich al een idioot, en die vernedering kwam er nog eens bovenop.

“Op zondag haalde ik hem thuis op voor een wandeling in het park. Hij was helemaal uit zijn gewone doen. Ik probeerde hem gerust te stellen, maar het molentje in zijn hoofd bleef malen. Bij het afscheid voelde ik hoe verkrampt hij was.”

Drie dagen later, rond halfdrie ’s middags, ziet de saswachter van Wijnegem aan de overkant van het water mensen samendrommen op de brug. Ze proberen hulp te bieden aan de oudere man die van zijn fiets is gevallen en op de kasseien ligt. De saswachter ziet een ziekenwagen arriveren en met hem wegrijden. De wachter is de enige bekende getuige van het plotse overlijden van Gaston D.

Rudi D.: “Toen ik mijn vader die middag op zijn gsm probeerde te bereiken, nam hij niet op. Hij zal nog op de fiets zitten, dacht ik. Om zes uur gaf hij nog altijd niet thuis en werd ik ongerust. Ik belde de politie, die van niets wist. Ik sprong in de auto om bij hem thuis te gaan kijken. Op de ring van Antwerpen kreeg ik telefoon van de politie: ze hadden mijn vader gelokaliseerd in het Universitair Ziekenhuis Antwerpen. Hij was overleden.

“Ik wilde hem nog een laatste keer zien, de volgende dag, maar dat kostte me ontzettend veel moeite. In die eerste dagen van de pandemie heerste een waanzinnige chaos in het ziekenhuis. Niemand kon me vertellen hoe mijn vader precies was gestorven, alleen dat het een natuurlijk overlijden was. Volgens de politie hebben verplegers nog geprobeerd om hem ter plaatse te reanimeren. Was hij onwel geworden en van zijn fiets gevallen? Viel hij eerst van zijn fiets en werd hij door de val onwel? Hoe waren zijn laatste momenten? Op geen van die vragen heb ik ooit een antwoord gekregen. De politie was veel te laat ter plaatse gekomen, toen alle omstanders al lang vertrokken waren. Het weinige dat ik weet, heb ik gehoord van de saswachter, die ik toevallig een keer aansprak. Het is tragisch om zo afscheid te moeten nemen van het enige familielid dat je nog hebt. Het was een mokerslag – ik kan er nu pas op een normale manier over vertellen.

“Ik ben er heilig van overtuigd dat mijn vader is bezweken aan de stress. Hij was al oud maar beresterk. Had nooit kwaaltjes, was nooit ziek. Waarschijnlijk heeft zijn hart het begeven. Zo eindigt je leven dan: kaalgeplukt door criminelen, en in de steek gelaten door de bank waar je je hele leven klant bent geweest. Hij had wel wat meer respect verdiend.

“En toen moest de ellende met de bank zelf nog beginnen.”

DAVID VS. GOLIATH

Phishing leidt almaar vaker tot grote en kleine drama’s bij slachtoffers, die nergens verhaal kunnen halen. De banken sturen hen wandelen, en het gerecht heeft te weinig middelen om het groeiende aantal onlinediefstallen te onderzoeken. Ook het Centrum voor Cybersecurity België (CCB) kan de phishingpogingen niet bijbenen, al doet het wel pogingen: burgers kunnen verdachte links signaleren op het mailadres verdacht@safeonweb.be. In 2022 waren er 16.000 meldingen per dag en werden meer dan 650.000 verdachte websites en links geblokkeerd.

Lieten mensen zich in 2021 vaak om de tuin leiden door berichten in verband met de coronacrisis – denk aan valse aanbiedingen voor vaccins of mondmaskers – dan was de energiecrisis vorig jaar hét thema. De belofte van een energiepremie kwam in alle vormen, de valse webshops die goedkope houtpellets aanboden, waren niet te tellen.

Evergreens zijn de valse berichten die van overheidsdiensten lijken te komen. Criminelen doen zich ook voortdurend voor als de banken zelf, met smoezen als: ‘Klik hier om een nieuwe kaart aan te vragen – nu gratis, als je wacht moet je betalen.’ Of: ‘Je moet je account opnieuw verifiëren om een blokkade te voorkomen.’

Het overkwam Marc L. (60) uit Aalter, die in september 2022 op een nagemaakte AXA-website terechtkwam en bestolen werd.

Marc L.: “Ik wilde een overschrijving doen via homebanking, toetste ‘AXA’ in de adresbalk van de zoekmachine en selecteerde de aangeboden link. Ik kwam op een site terecht die er hetzelfde uitzag als anders, maar blijkbaar vals was. Toen ik probeerde in te loggen met de kaartlezer, mislukte dat. Wellicht hebben de dieven me op dat moment mijn bankgegevens ontfutseld. Ze gingen aan de haal met 790 euro – gelukkig niet meer dan dat.

“Ik diende een klacht in bij de politie, maar ook bij AXA, me beroepend op de wet die hen verplicht die diefstal te vergoeden. De bank weigerde.”

Volgens AXA is Marc onvoorzichtig geweest, omdat hij de URL van de frauduleuze website (home.axabonk.be-app.nlbwa-sd.com) niet heeft gelezen. ‘Die had uw argwaan moeten wekken’, schrijft de bank. ‘Dit schadegeval had vermeden kunnen worden mits u de voorzichtigheid van een voorzichtig, redelijk en geïnformeerd persoon in dezelfde omstandigheden geplaatst, in acht zou hebben genomen.’

Marc L.: “Het was choquerend om te lezen – alsof ik de grootste idioot ben. Die URL is me inderdaad niet opgevallen, omdat de website een perfecte kopie was van de homebankingsite van AXA. Het had veel mensen kunnen overkomen.”

Marc L. dient een klacht in bij de Ombudsdienst voor Financiële Diensten van de federale overheid (Ombudsfin), die gratis bemiddelt en adviseert maar niets kan afdwingen. De dienst geeft hem gelijk en beveelt de bank aan om de schade te vergoeden, maar AXA houdt voet bij stuk.

Marc L.: “Ik vind het hemeltergend dat een grootbank dit gewoon naast zich neer kan leggen. Je voelt je David die met de reus Goliath kampt.

“Weggaan bij AXA zal hen amper raken en mij nog meer kosten – bijna al mijn financiën zitten daar. Zo doen ze dat: eerst halen ze je binnen met hun marketingstrategie, daarna maken ze je financieel afhankelijk. Als je een hypotheek wilt, bijvoorbeeld, ben je verplicht je ook bij hen te verzekeren. En ze stimuleren je om alles digitaal te beheren – maar zodra het misloopt, laten ze je vallen als een baksteen.

“Ik heb even getwijfeld, maar ik ga de bank toch dagvaarden. Als ik niets probeer, verlies ik sowieso.”

Enkele maanden voor zijn 90ste verjaardag was Gaston D. in één klap 100.000 euro kwijt: zijn hele spaarpot. ‘Ik ben altijd zo voorzichtig geweest op financieel vlak,' zei hij, 'en op mijn oude dag overkomt me dit.’ Beeld rv
Enkele maanden voor zijn 90ste verjaardag was Gaston D. in één klap 100.000 euro kwijt: zijn hele spaarpot. ‘Ik ben altijd zo voorzichtig geweest op financieel vlak,' zei hij, 'en op mijn oude dag overkomt me dit.’Beeld rv

DE LANGE BAAN

Door de opmars van phishing krijgt Ombudsfin elk jaar meer klachten van burgers. ‘Eerst onderzoeken we of een klacht gegrond is’, zegt ombudsman Jean Cattaruzza. ‘In 40 procent van de gevallen besluiten we dat de klager recht heeft op een compensatie. We geven de consument dus zeker niet altijd gelijk.’

Maar áls u dat doet, kunnen banken dat wel naast zich neerleggen: uw adviezen zijn niet bindend. Zoals bij Marc L.

Jean Cattaruzza: “Ja, en dat is frustrerend. Als wij in een phishingdossier vinden dat een bank de klant moet vergoeden, weigert ze dat in 60 procent van de gevallen. Het slachtoffer kan dan alleen nog naar de rechtbank stappen, maar voor enkele honderden euro’s doe je dat niet snel. Ik begrijp dat slachtoffers zich machteloos voelen.

“In alle andere materies – een krediet of investering, bijvoorbeeld – kunnen we de burger in 90 procent van de gevallen wél een oplossing bieden. Phishing ligt erg gevoelig in de hele sector. Er zijn geen ‘goede’ of ‘slechte’ banken: ze volgen bijna allemaal dezelfde lijn.”

Banken voeren meestal aan dat de klant ‘grof nalatig’ is geweest, en dat de diefstal dus zijn eigen schuld is.

Cattaruzza: “De wet maakt een onderscheid tussen een gewone onzorgvuldigheid waardoor fraude kan plaatsvinden en een abnormale onzorgvuldigheid – of grove nalatigheid, dus. Banken maken die nuance vaak niet. Ze zeggen bijvoorbeeld dat een onlinediefstal alleen mogelijk is als de klant zijn codes aan de fraudeur heeft gegeven – en dús grof nalatig is geweest. Maar echt bewijs leveren ze vaak niet, terwijl dat wel zou moeten. Of ze opperen: ‘Wanneer u inlogt met een kaartlezer, wordt u nooit om een M2-responscode gevraagd.’ Ik weet dat wel, omdat ik elke dag met die dingen bezig ben, maar voor de doorsneeconsument ligt dat niet voor de hand. De bank houdt geen rekening met de context van de fraude.

“Er is nog maar weinig rechtspraak over phishing, en ze is niet eensluidend: soms krijgt de consument gelijk, soms de bank. Als banken verliezen, gaan ze altijd in beroep – waardoor de zaak op de lange baan wordt geschoven. En in het uitzonderlijke geval dat ze wél een vergoeding geven, zullen ze dat altijd bestempelen als een louter welwillende tegemoetkoming.”

AALMOES

‘Banken zetten wél sterk in op fraudedetectie’, noteren we bij Febelfin, de Belgische koepel van banken en financiële instellingen.

Isabelle Marchand (woordvoerder): “In 75 procent van de gevallen wordt een frauduleuze overschrijving tegengehouden of wordt het geld gerecupereerd.”

Hoeveel slachtoffers van phishing worden door hun bank gecompenseerd, en hoeveel mensen krijgen het deksel op de neus?

Marchand: “Daar hebben we helaas geen cijfers over. Maar bij elk geval van phishing analyseert een bank de omstandigheden grondig. Op basis daarvan oordeelt ze of de klant wordt terugbetaald.”

Volgens Jean Cattaruzza van Ombudsfin interpreteren banken het begrip ‘grove nalatigheid’ vaak te breed.

Marchand: “In de wetgeving zijn daarvoor geen criteria vastgelegd. Er worden alleen twee voorbeelden van grove nalatigheid aangehaald: de persoonlijke codes van je kaart bijhouden, en je kaart laattijdig blokkeren. Precies omdat de omstandigheden van phishing telkens zo verschillend zijn, kun je het fenomeen niet in een paar regels vatten.

“De rechtbank heeft ons trouwens al in een aantal dossiers gelijk gegeven. Het is geen zwart-witverhaal.”

‘Na de dood van mijn vader ben ik de phishingzaak in detail gaan reconstrueren’, zegt Rudi D., zoon van de onfortuinlijke Gaston.

Rudi D.: “Die bewuste vrijdagavond waarop het gebeurd moet zijn, had hij me uitgenodigd om bij hem te komen eten. Het was de eerste dag van de lockdown.

”Toen ik binnenkwam, was hij aan het telefoneren. Hij was heel nerveus, want ondertussen kookten de aardappelen bijna over en bakte het vlees bijna aan. ‘Vader, stop daar eens mee’, zei ik. ‘Vraag die kerel om je terug te bellen.’ Het was iemand van de bank, zei hij. Toen ik na het eten bij hem vertrok, heb ik hem nog de telefoon horen opnemen. Het was opnieuw die bankmedewerker.”

Gaston D. had daags voordien een mailtje van zijn bank gekregen waarin een nieuwe, veiligere kaartlezer werd aangeboden – gratis. ‘Hiervoor hebben we uw digitale handtekening nodig. Bent u geïnteresseerd, mail ons dan uw telefoonnummer en uw bankrekeningnummer door. Dan nemen wij telefonisch contact met u op.’ Het mailtje was vals, net zoals de bankmedewerker die Gaston aan de lijn kreeg.

Rudi D.: “De dieven hadden de bankapp gedownload met de gegevens uit zijn e-mail. Ze hadden alleen nog een toegangscode nodig. Die heeft hij wel meegedeeld aan de telefoon. Hij dacht dat dat geen kwaad kon, omdat ze zijn pincode niet hadden. Fout gedacht, dus.”

Hoe reageerde de bank na zijn dood?

Rudi D.: “‘We zullen het geld proberen te recupereren’, zeiden ze. ‘Maar daar hebben we wel wat tijd voor nodig.’ Dat wekte mijn achterdocht: ze hadden mijn vader zélf gemeld dat hij het slachtoffer van phishing was. Waarom hebben ze dat geld dan niet onmiddellijk teruggehaald?

“Ik ben met advocaat Tom De Smet gaan praten, die gespecialiseerd is in phishing. Hij was stellig: wat mijn vader had gedaan, viel niet onder de noemer grove nalatigheid. De bank was wettelijk verplicht om het gestolen bedrag aan zijn nabestaanden te vergoeden. Maar dat weigerde ze.

“Terwijl ik me beraadde op een juridische procedure, kwam ik te weten dat mijn vader een soort levensverzekering bij de bank had: als hij een natuurlijke dood stierf, zou het bedrag op zijn bankrekening verdubbeld worden. Ik bezorgde de bank, die daar in alle talen over gezwegen had, een attest van zijn natuurlijke overlijden en wees op mijn vaders verzekering. Maar bij zijn dood stond er natuurlijk nog maar 1.600 euro op zijn rekening. En ze wilden alleen dát bedrag verdubbelen. Een aalmoes. Ik begon me af te vragen: wie zijn hier de echte criminelen?

“Enkele maanden later kreeg ik het bericht dat de bank 59.000 euro had kunnen recupereren. Uiteraard was ik blij, maar het zat me ook dwars: er was geen enkele transparantie over de manier waarop ze te werk waren gegaan. Waarom hadden ze niet ál het spaargeld van mijn vader teruggevonden? Was die 59.000 euro wel het correcte bedrag? Je moet de bank maar vertrouwen, terwijl die je al eens heeft proberen te bedriegen.

“In het dossier van de levensverzekering zijn ze me wel tegemoetgekomen: ze hebben het gerecupereerde bedrag verdubbeld.

“Voor de bank is het dossier nu afgesloten, maar ik blijf met een wrang gevoel achter. Er is nog altijd geld weg, en ik ben mijn vader kwijt. Dat hij, een man die zijn hele leven zozeer zijn best heeft gedaan, zoiets nog heeft moeten meemaken: dat vind ik het ergst van al.”

Phishers kunnen levens verwoesten, meneer Cattaruzza.

Cattaruzza (knikt): “U hebt het nu over 100.000 euro, maar zelfs een diefstal van 5.000 of 10.000 euro kan rampzalige gevolgen hebben. Onze boodschap voor de banken is vooral: kijk kritisch naar jullie eigen beveiligingssystemen, en detecteer atypisch gedrag zo vlug mogelijk. Ik ben al 25 jaar klant bij dezelfde bank, ik heb een bepaalde manier om te bankieren. Als ik plots dingen doe die ik nooit eerder heb gedaan, móét mijn bank ingrijpen – punt. De manier waarop banken nu met phishing omgaan is slecht voor het imago van de sector. Het kan zo niet verder.”

© Humo

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234