Het is geweten dat een betalingsdienstaanbieder – in praktijk meestal een bank – vrij snel aansprakelijk is voor “niet-toegestane” betalingstransacties. Dit betekent dat wanneer uw bankrekening wordt leeggeroofd, bv. in het kader van phising of een gestolen bankkaart, uw bank het gestolen bedrag zal dienen te crediteren.[1] Dit gaat niet enkel voor de slachtoffers vaak om substantiële bedragen, maar ook voor de banken is het totale kostenplaatje zeer materieel.
Banken trachten dan ook op verschillende wijzen het probleem van niet-toegestane transacties te beperken. Denk maar aan de vele campagnes rond phising, de beperkingen op het bedrag dat u cash kan afhalen, het blokkeren van kaarten in het buitenland, etc. Een “last resort” van de banken om hun kosten in dit verband te beperken is door hun aansprakelijkheid op juridische gronden te betwisten. Vaak wordt daarbij ingeroepen dat de gebruiker “grof nalatig” is geweest, wat de bank toelaat om te ontsnappen aan hun aansprakelijkheid.
Er bestaat bij sommigen het gevoel dat banken al te vaak de notie grove nalatigheid inroepen, waardoor het slachtoffer gedwongen wordt om naar de rechtbank te stappen. Doordat niet iedereen de extra horde van de rechtbank neemt zou in praktijk er minder aansprakelijkheid bij de bank gelegd worden dan de Europese en Belgische regelgever in abstracto voorzagen.
Vandaag kan je in de Tijd lezen dat in de zogenaamde “supernota” van de federale onderhandelaars er maatregelen voorzien zijn die ervoor zouden moeten zorgen dat banken netto meer aansprakelijkheid zullen dragen voor niet-toegestane betalingstransacties. O.a. door de adviezen van de Ombudsfin (een minder hoge drempel dan een rechtbank) bindend te maken, en de Economische Inspectie via boetes de banken ertoe te dwingen zich coulanter op te stellen.
De banken meer laten betalen is natuurlijk een keuze die in een democratie legitiem kan gemaakt worden. Het is wel zinvol dat beleidsmakers dergelijke beslissingen nemen op basis van redelijke aannames een gedegen theoretische basis.
In ieder geval is de populistische idee dat geld afnemen van “rijke” en “machtige” banken en dit transfereren naar pakweg consumenten (bv. door strenge aansprakelijkheid of bankentaksen) totale maatschappelijke utiliteit verhoogt te simplistisch:
1.
Vooreerst dient herinnerd te worden dat een “bank” geen levend wezen is, maar een juridische fictie. Een bank kan dus zelf geen utiliteit ontlenen aan rijk of machtig zijn. Een aansprakelijkheidsverstrenging voor de bank betekent in realiteit een shift van economische middelen van enerzijds de natuurlijke personen die (ultiem) stakeholders van de bank zijn zoals aandeelhouders, werknemers en cliënten naar anderzijds de zeer specifieke groep van slachtoffers van een niet-toegestane betalingstransactie.
Volgens de klassieke economische theorie zullen de sterkst benadeelde groepen van deze shift eerder werknemers en cliënten zijn dan aandeelhouders. Een verhoogde aansprakelijkheid (maar ook bankentaksen, etc.) zet immers het rendement van de bank onder druk.[2] En in liquide financiële markten kan een aandeelhouder zijn belang in de bank van de hand doen en een andere belegging verwerven met een interessantere verhouding risico-rendement .
Deze – misschien niet zo fijne maar onmiskenbare – economische realiteit betekent dat banken bij verhoogde aansprakelijkheid eventueel werknemers zullen moeten ontslaan, of de prijzen voor de consument verhogen, om de aandeelhouder zijn rendement te kunnen blijven bieden.
De vraag is dan ook, wie kan het efficiëntst de kosten dragen van de niet-toegestane betalingstransactie? Misschien zal de werknemer van de trading desk wel overleven met iets minder bonus, terwijl de alleenstaande moeder die twee jobs moet combineren veel geluk zal ontlenen wanneer de bank de schade die ze door phising leidt herstelt. Anderzijds zal het ontslag van de poetsman door de bank, of de hogere hypotheekrente voor het jonge gezin dat hun eerste huisje wil kopen, heel hard aankomen, terwijl Elon Musk het misschien wel kan verdragen indien een scammer een paar duizend euro van zijn kredietkaart haalt.
Het is in abstracto dan ook zeer moeilijk om middelen te verdelen via het aansprakelijkheidsrecht, in casu via de aansprakelijkheid voor niet-toegestane transacties. Men weet immers niet precies genoeg wie ultiem de kost zal dragen van een verstrengde aansprakelijkheid voor banken, en wie zal profiteren van de verlaagde aansprakelijkheid voor de klant. Daarom trouwens ook dat vaak wordt geponeerd dat “herverdeling” van rijkdom via belastingen moet gebeuren, liefst op het niveau van de natuurlijke persoon, waarbij men zich rechtstreeks kan baseren op het inkomen, vermogen en specifieke omstandigheden van de persoon in kwestie.[3]
2.
Een tweede element waaraan in de discussie volledig wordt voorbij gegaan is de prikkels die uitgaan van een wettelijke aansprakelijkheidsverdeling. Dit is nochtans veel meer de crux dan het herverdelende aspect.
Aansprakelijkheidrecht speelt een bijzonder belangrijke rol bij de preventie van “schade”. Ze doet dit o.a. door typisch sneller aansprakelijkheid voor schade te leggen bij degene die deze schade het “goedkoopst” kan voorkomen (de zogenaamde “cheapest cost avoider”).
Ongetwijfeld kunnen banken een belangrijke rol spelen in het voorkomen van “schade” geleden door niet-toegestane betalingstransacties. Bv. door het beveiligen van hun informatica-systemen, het vereisen van sterke authenticatie, het sensibiliseren van cliënten m.b.t. gevaren van phising, het organiseren van een callcenter om onmiddellijk gestolen kaarten te blokkeren, etc. Allemaal zaken waarvoor de bank veel beter geplaatst is dan de cliënt.[4]
Vanaf een bepaald punt vindt er evenwel een shift plaats, waarbij de klant beter geplaatst is om de schade te voorkomen. De bank kan nog zoveel aan preventie doen, wanneer de cliënt bv. zijn bankkaart en code achteloos aan een scammer geeft zal er weinig zijn dat de bank kan doen om de diefstal te voorkomen.
Grove nalatigheid is de cut-off die de wetgever heeft gemaakt. Tot aan grove nalatigheid wordt de bank beschouwd als de cheapest cost avoider en draagt zij de aansprakelijkheid, vanaf grove nalatigheid is de klant cheapest cost avoider en draagt hij aansprakelijkheid.
Daarom is het relevant dat de notie “grove nalatigheid” – en aansprakelijkheidsregels in het algemeen – goed gekalibreerd zijn. Is de invulling van grove nalatigheid te weinig restrictief, dan zullen banken niet “optimaal” hun best doen om schade te voorkomen, terwijl ze nochtans het best geplaatst zijn om dat te doen. Wordt de notie “grove aansprakelijkheid” restrictief geïnterpreteerd, dan zullen cliënten misschien te weinig geprikkeld zijn om niet-toegestane transacties te voorkomen. In beide gevallen zal er meer totale schade zijn in vergelijking met het geval waarbij de “grove nalatigheid” wel goed werd ingevuld. Deze notie dient dan ook in de eerste plaats in dit licht te worden bepaald.
Voorgaande analyse is niet volledig, noch stel ik precies te weten hoe de kosten van niet-toegestane betalingstransacties het meest efficiënt verdeeld kunnen worden tussen banken en slachtoffers. Ik ben wel vrij zeker dat de populistische, en onbestaande, tegenstelling tussen “rijke” banken en “zwakke” slachtoffers niet de juiste theoretische basis verschaft om regels op te baseren.
[1] Zie hierover bijvoorbeeld G. Straetmans en R. Steennot, Handboek consumentenbescherming en marktpraktijken – Analyse van rechten en plichten tegen de achtergrond van de nagestreefde doelstellingen, Larcier-Intersentia, 2023, 618 e.v.
[2] Uiteraard wordt het risico-rendement van een bank niet enkel bepaald door haar aansprakelijkheid voor niet-toegestane transacties. Maar op de marge speelt dit natuurlijk wel een rol.
[3] En dus niet via pakweg het aansprakelijkheidsrecht. Dit is het zogenaamde “double distortion problem”. Zie L. KAPLOW en S. SHAVELL, “Why the Legal System is Less Efficient than the Income Tax in Redistributing Income”, The Journal of Legal Studies 1994, 667-681.
[4] Daarom ook dat aansprakelijkheid voor niet-toegestane transacties na kennisgeving van de problemen altijd bij de bank ligt, op dat moment kan de bank immers simpelweg alles blokkeren (zie artikel VII.44, §3 WER.). Vanuit die optiek is het misschien ook verdedigbaar om banken aansprakelijk te stellen wanneer er geen gebruik wordt gemaakt van “sterke authenticatie” (zie artikel VII.44, §3 WER), banken zijn typisch beter geplaatst dan de cliënt om een dergelijke authenticatie te integreren in hun systemen.
Corporate Finance Lab 
Mooie rechtseconomische analyse! Ik zou nog toevoegen: de rechtseconomische analyse van aansprakelijkheid suggereert dat het belangrijk is dat beide partijen aansprakelijk kunnen zijn bij onzorgvuldig gedrag opdat elke partij optimale schadebeperkende incentives heeft. “Strict liability” voor de bank is geen efficiënte keuze, al lijkt dit er steeds meer naar op te schuiven …
LikeLiked by 1 person