De afgelopen maanden heeft de bancaire sector te leiden gehad van zogenaamde Distributed Denial of Service (DDoS) aanvallen. Het gevolg was dat het betalingsverkeer in april behoorlijk ontregeld was. Vele partijen hebben dan ook schade ondervonden door de aanval. Te denken valt aan ondernemers die geen PIN-betalingen meer konden ontvangen maar ook bijvoorbeeld online beleggers. De ham-vraag is dan ook: Kunnen banken aansprakelijk worden gesteld voor schade ontstaan door DDoS aanvallen?

Volgens de Nederlandse Vereniging van Banken kan dat in ieder geval niet. Voorzitter Boele Staal bericht op 15 april 2013 dat compensatie zeker niet aan de orde is omdat de banken er “alles aan doen” om deze aanvallen te voorkomen. Dat zijn duidelijke woorden. Toch is het maar de vraag deze stelling houdbaar blijkt in de rechtszaal.

Overeenkomsten en wanprestatie.

Iemand die gebruik wil maken van de diensten van een bank sluit daartoe een overeenkomst af met die bank. Die overeenkomst komt kort gezegd op het volgende neer. De ondernemer betaalt een vergoeding en de bank voorziet in ruil daarvoor in bijvoorbeeld PIN-transacties of een bankrekening. Op grond van deze overeenkomst heeft de bank dus een leveringsverplichting. Als het betalingsverkeer ontregeld raakt komt de bank haar deel van de overeenkomst niet na en pleegt zij wanprestatie.Ingevolge art. 6:74 is een schuldenaar (in dit geval de bank) die toerekenbaar tekort schiet in de nakoming van een overeenkomst gehouden schade die daaruit ontstaat te vergoeden. De plicht tot het vergoeden van schade vervalt in geval van overmacht (art. 6:75 BW). De tekortkoming is dan immers niet meer toerekenbaar.

Is een beroep op overmacht ex art 6:75 BW haalbaar?

Een beroep op overmacht brengt een bewijsplicht met zich mee. De bank moet bewijzen dat zij, binnen de grenzen van het redelijke voldoende maatregelen heeft genomen om de tekortkoming (het uitvallen van het betalingsverkeer) te voorkomen.

Banken vervullen een maatschappelijke plicht, dit brengt met zich mee dat van banken een hoge mate van zorgvuldigheid wordt verwacht met betrekking tot het betalingsverkeer (HR 29-09-1995, NJ 1998, 81). Daar komt ook nog eens bij dat de banken jarenlang het gebruik van elektronisch betaalverkeer hebben gestimuleerd. Deze factoren kunnen reden zijn voor een rechter aan banken een hogere maatstaf op te leggen op het gebied van beveiliging tegen cyberaanvallen.

In de overeenkomst kan worden vastgelegd in welke gevallen er sprake is van overmacht. Of de bank een beroep op overmacht kan doen hangt dus af van de overeenkomst tussen de bank en de schadelijdende. De verwachting is dan ook dat banken bij toekomstige overeenkomsten een DDoS aanval aanval als overmacht zullen bestempelen.
Zelfs indien een dergelijke bepaling is contractueel is vastgelegd is het nog maar de vraag of een bank niet onrechtmatig handelt door niet aan de bovengenoemde maatschappelijke verplichting te voldoen. In het belang van de discussie zal ik er echter hierna vanuit gaan dat er geen sprake is van een dergelijke contractuele bepaling.

De bank zou zich op het standpunt kunnen stellen dat zij niet bekend was, of behoorde te zijn, met het gevaar dat vanuit de DDoS aanvallen kwam. Deze stelling lijkt moeilijk vol te houden. Een DDoS aanval is namelijk een vrij basale en alom bekende techniek om een systeem aan te vallen. Bovendien was de Rabobank in januari 2013 al slachtoffer van een kleinschalige DDoS aanval. Het is daarom niet vol te houden dat een bank niet bekend zou zijn geweest met het gevaar van de DDoS aanval.

De bank kan zich ook op het standpunt stellen dat zij een DDoS aanval niet had kunnen tegenhouden. Dat standpunt is evenmin geloofwaardig gezien de banken, binnen twee weken na de aanval, wel maatregelen konden nemen om aanvallen in de toekomst te voorkomen, of in ieder geval de gevolgen en de duur ervan te beperken. Daaruit blijkt dat er reeds technische oplossing voorhanden waren ter afwending van het DDoS gevaar.

Door het niet tijdig nemen van maatregelen die ter beschikking stonden ter bestrijding van DDoS aanvallen heeft het management van de banken bewust het risico aanvaard dat schade zou kunnen ontstaan bij haar klanten. Naar mijn mening zijn de banken dan ook voor deze schade aansprakelijk.

Een beroep op overmacht zou in ieder geval een ferme bewijsopdracht met zich meebrengen. Nu de banken bekend waren met het risico en er bovendien voldoende maatregelen waren om het risico te beperken lijkt het beroep op overmacht kansloos.

Conclusie

Het is dus maar de vraag of de banken zich met recht op overmacht kunnen beroepen. Indien U schade hebt geleden door de DDoS aanvallen en deze wilt verhalen kunt U contact met mij opnemen. Wij zullen Uw casus op haalbaarheid beoordelen.

Ook indien U om andere redenen meer informatie wilt ontvangen over dit onderwerp kunt U contact opnemen via fons@mulders-advocaten.nl

Bron: njblog.nl, vk.nl