Brabantia en Bol.com stonden in april in de rechtbank. Reden? Bol.com dacht €750.000,- te hebben overgemaakt aan leverancier Brabantia, maar betaalde in werkelijkheid aan een stel oplichters. Brabantia eist nakoming en krijgt gelijk, ondanks een gehackt mailaccount.

Nieuw bankrekeningnummer via gehackt mailaccount

Bol.com verkoopt onder meer keukengerei en prullenbakken van Brabantia. Daarom doet zij regelmatig betalingen aan dit bedrijf.

In 2019 ontving Bol.com een mail vanuit Brabantia om de betalingen voortaan over te maken naar een ander bankrekeningnummer. Ruim een maand lang deed Bol.com dit voor een totaalbedrag van €751.493,09.

Toen trok Brabantia aan de bel. Het geld was namelijk niet ontvangen.

Wat bleek?

hacked.jpg

De mailbox van een boekhoudmedewerker van Brabantia was gehackt. De hack heeft plaatsgevonden in de cloud via Microsoft Office 365.

De oplichters hebben de mailbox ‘overgenomen’ en de aan Bol.com verzonden berichten hieruit verwijderd. Latere mails vanuit Bol.com zijn op basis van een inboxregel automatisch verplaatst naar het mapje ‘RSS-feeds’. In de mailbox hadden de oplichters ook toegang tot het logo en briefhoofd van Brabantia.

Brabantia eist nu nakoming van het openstaande bedrag. Bol.com vindt dat er bevrijdend is betaald en dat Brabantia zelf onzorgvuldig heeft gehandeld.

Te goeder trouw gehandeld?!

Bol.com meent dat ze te goeder trouw heeft gehandeld. Twee medewerkers hebben het mailtje met het verzoek om het rekeningnummer te wijzigen, gecheckt op:

  • Is het afkomstig van het bij ons bekende e-mailadres?

  • Ziet de mail er qua lay-out en opmaak goed uit?

  • Staan de handtekeningen van de directie van Brabantia eronder?

Het antwoord op al die vragen, was “ja”. Daarom werden de bedragen overgemaakt naar het nieuwe bankrekeningnummer.

Is de zaak daarmee afgedaan?

Nee! Bol.com had zorgvuldiger moeten zijn en moeten nagaan of en in welke mate de informatie waarover ze kon beschikken aanleiding gaf tot twijfel en dus tot (nader) onderzoek.

Van spelfouten tot Spaans rekeningnummer

Had Bol.com reden om te twijfelen en nader onderzoek te doen?

fraude alert.jpg

De rechter meent allereerst dat Bol.com had moeten begrijpen dat het verzoek om een rekeningnummer te wijzigen een bekend trucje is van oplichters. Twijfelmoment 1 dus.

Daarnaast wordt verzocht een Spaans rekeningnummer te gaan gebruiken. Een Nederlands gevestigde onderneming die alle betalingen van een ander Nederlands gevestigde onderneming in Spanje wil hebben? Twijfelmoment 2.

Twijfelmoment 3 laat eigenlijk geen twijfel over. Lees zelf een fragment uit de mail:

“Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen.

Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje.

We het op prijs as u uw gegevens kunt bijwerken.”

Dit had toch genoeg aanleiding moeten geven om Brabantia even te bellen en te checken of het verzoek daadwerkelijk klopte.

De conclusie van de rechtbank is dan ook dat Bol.com de betalingsverplichtingen aan Brabantia nog niet heeft voldaan en dus alsnog moet voldoen.

Is het dan niet de eigen schuld van Brabantia?

Een interessante vraag.

Het verzoek om het rekeningnummer te wijzigen kwam immers vanuit een mailaccount van Brabantia.

Bol.com meent dan ook dat Brabantia zich beter had moeten beveiligen tegen hacken. Bijvoorbeeld door 2-factorauthenticatie toe te passen en maatregelen te treffen tegen inboxregels. Volgens Bol.com is er dus sprake van eigen schuld.

security.jpg

Het probleem is echter dat ‘eigen schuld’ wettelijk gezien alleen van toepassing kan zijn bij het vorderen van schadevergoeding. Niet bij het vorderen van nakoming van een betalingsverplichting. Dat laatste is wat Brabantia nu eist. Daarom wordt het verweer ‘eigen schuld’ door de rechtbank terzijde geschoven.

Daarnaast kan op basis van verstrekte informatie over 2-factorauthenticatie op dit moment niet geoordeeld worden of Brabantia onzorgvuldig jegens Bol.com heeft gehandeld. Dat Brabantia deze ‘mogelijkheid tot beveiliging’ eind 2019 (nog) niet had geïmplementeerd, wil nog niet zeggen dat Brabantia ook een verplichting had daarvan gebruik te maken in haar contractuele relatie tot Bol.com.

Wees dus altijd alert!

Wat u van deze casus kunt leren?

Blijf alert op de authenticiteit van mailtjes. Ook als u de afzender van een mailtje herkent en de mail hetzelfde opgemaakt is als altijd. Maak ook uw medewerkers geregeld attent op de gevaren van fraude en hacking.

Pas zo nodig 2-factorauthenticatie toe en tref maatregelen tegen inboxregels.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Abonneert u zich dan nu op onze maandelijkse nieuwsbrief.