Belangrijke EU-jurist: banken moeten phishingslachtoffers compenseren

Banken moeten slachtoffers van bankphishing direct compenseren, tenzij er duidelijk sprake is van fraude. Dit adviseert een advocaat-generaal aan het EU-Hof. Pas als blijkt dat de klant nalatig heeft gehandeld, kan de bank het geld terugvragen.

De zaak draait om een klant van een Poolse bank die trapte in een phishingtruc. Een crimineel deed zich op een online marktplaats voor als een koper die iets wilde kopen van het slachtoffer. De crimineel stuurde daarop een link naar een site die leek op de site van de bank van het slachtoffer. Het slachtoffer vulde hierop de bankgegevens in, waarna de crimineel kon inloggen en geld kon stelen.

Het slachtoffer meldde het gestolen geld een dag later bij de bank. Die weigerde de klant te compenseren. De bank stelde dat de vrouw ernstig nalatig had gehandeld door haar bankgegevens in te vullen op de nepsite. De vrouw stapte hierop naar de Poolse rechter, die het Europese Hof van Justitie vroeg om zich over de zaak te buigen.

Advocaat-generaal Athanasios Rantos adviseert het hof dat banken dergelijke compensatieverzoeken niet zomaar mogen weigeren. Volgens Rantos moeten banken bij zulke verzoeken direct het geldbedrag van de ongeautoriseerde transactie terugbetalen. Hier is maar één uitzondering op: fraude. Andere gronden zoals grove nalatigheid zijn geen reden voor banken om hiervan te mogen afwijken.

Rantos benadrukt dat die terugbetaling niet definitief is. De advocaat-generaal zegt dat klanten ook verplichtingen hebben naar banken toe, zoals dat ze veilig omgaan met inloggegevens. Als klanten bewust of door ernstig nalatig gedrag hun inloggegevens lekken, kan het wel zo zijn dat de klant het geld moet terugbetalen.

Als klanten weigeren dat geld terug te betalen, kunnen banken naar de rechter stappen. Maar ze mogen het geld dus niet zelf inhouden of zomaar geld van de klantrekening afschrijven. Banken moeten de klant dus eerst compenseren en pas later eventueel het geld terugvragen.

Het advies van de advocaat-generaal komt onafhankelijk tot stand. Het Hof van Justitie is dan ook niet verplicht om dit advies over te nemen, maar doet dit vaak wel. Het Hof doet later uitspraak in de zaak.

Phishing cyberaanval

Door Hayte Hugo

Redacteur

Feedback • 10-03-2026 15:16 102

10-03-2026 • 15:16

102

Lees meer

Belgische ethisch hacker kaapt dashboard cyberbende en stopt phishingcampagnes
Belgische ethisch hacker kaapt dashboard cyberbende en stopt phishingcampagnes Nieuws van 9 maart 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
AI-browser van Perplexity trapt in simpele en bekende phishingtrucs
AI-browser van Perplexity trapt in simpele en bekende phishingtrucs Nieuws van 25 augustus 2025
Slachtoffers van digitale misdaad worden voortaan thuis bezocht door politie
Slachtoffers van digitale misdaad worden voortaan thuis bezocht door politie Nieuws van 20 mei 2025
Overheidscampagne voor bewustwording van online veiligheid had weinig effect
Overheidscampagne voor bewustwording van online veiligheid had weinig effect Nieuws van 18 april 2025
Bunq betaalde ruim 10 miljoen euro terug aan slachtoffers van phishing
Bunq betaalde ruim 10 miljoen euro terug aan slachtoffers van phishing Nieuws van 15 april 2025
Nederlandse gemeente maakt 93.000 euro over bij nepfactuur
Nederlandse gemeente maakt 93.000 euro over bij nepfactuur Nieuws van 25 november 2024
30 procent Nederlanders kreeg met WhatsApp-fraude te maken, meer dan in 2023
30 procent Nederlanders kreeg met WhatsApp-fraude te maken, meer dan in 2023 Nieuws van 2 oktober 2024
Bunq gaat alsnog schadevergoeding betalen aan phishingslachtoffers
Bunq gaat alsnog schadevergoeding betalen aan phishingslachtoffers Nieuws van 21 juni 2024
Bunq gaat remoteaccesstools detecteren om phishingaanvallen te stoppen
Bunq gaat remoteaccesstools detecteren om phishingaanvallen te stoppen Nieuws van 7 juni 2024
NOS en NRC: bunq-klanten vaak het slachtoffer van phishing
NOS en NRC: bunq-klanten vaak het slachtoffer van phishing Nieuws van 24 mei 2024
Politie rolt internationaal phishingnetwerk op, vijf arrestaties in Nederland
Politie rolt internationaal phishingnetwerk op, vijf arrestaties in Nederland Nieuws van 18 april 2024
Fors minder schade en minder slachtoffers bankhelpdeskfraude in 2023
Fors minder schade en minder slachtoffers bankhelpdeskfraude in 2023 Nieuws van 11 maart 2024
OM eist 2 jaar celstraf voor Nederlander die met phishingpanels Belgen oplichtte
OM eist 2 jaar celstraf voor Nederlander die met phishingpanels Belgen oplichtte Nieuws van 21 maart 2023
Meer producten en artikelen
Politiek en recht Bank Criminaliteit Crimineel Cybercrime Europees Hof van Justitie Europese unie Fraude Phishing Rechtszaak

Reacties (102)

-Moderatie-faq
102
102
63
4
0
31
Wijzig sortering

Sorteer op:

Weergave:
berzerker 10 maart 2026 15:56
Ik begrijp dat je in de kop van een artikel geen al te veel precisie mag verwachten, maar om een Advocaat-Generaal van het Europese Hof van Justitie nu een "Belangrijke EU-advocatenadviseur" te noemen, is m.i. wel raar. De AG is geen advocaat en adviseert geen advocaten (hij adviseert de rechter), en hoe is hij "belangrijk"?

Een vergelijkbare functie (ook Advocaat-Generaal geheten) hebben we trouwens ook in Nederland bij de Hoge Raad, dus dit is niet iets heel onbekends of zo.

M.i. had best gewoon "Advocaat-Generaal EU" of "Advocaat-Generaal EU-Hof" kunnen worden gebruikt in plaats van "Belangrijke EU-advocatenadviseur".
Reageer
2Keys 10 maart 2026 15:21
Sorry hoor maar waarom. Het onkunde van de gebruiker is het probleem van het platform?

Er is geen garantie dat de bank dit geld terug krijgt van de rekening van de fraudeur. Dit zijn dus allemaal kosten die wij, als rekeninghouders, moeten gaan dekken.

Daarnaast lijkt bankphishing me altijd fraude, wat kan dit anders zijn?

[Reactie gewijzigd door 2Keys op 10 maart 2026 15:22]

Reageer
bigbuddha @2Keys10 maart 2026 15:27
Het gaat uiteraard niet om onkunde van de gebruiker, maar om misleiding van de gebruiker.
Reageer
2Keys @bigbuddha10 maart 2026 15:35
Het gaat uiteraard niet om onkunde van de gebruiker, maar om misleiding van de gebruiker.
Wat is het verschil? Op dit moment kan de bank niets doen om dit probleem te voorkomen. Wat het hof hier vraagt is eigenlijk klanten te verbieden bankoverschrijving te doen zonder een 2fa stap. Op dit moment kan het systeem dit niet. Elke overschrijving zou dan een soort iDEAL moeten worden. En zelfs dan zullen klanten klikken zonder te kijken.
Reageer
lenwar
@2Keys10 maart 2026 15:43
Op dit moment kan de bank niets doen om dit probleem te voorkomen.
Dit is dus discutabel, of de bank niets 'kan' doen.

Er zijn heel veel factoren die meespelen met een transactie doen.

Stel ik spontaan 1793 euro naar een private bankrekening in Mongolië wil doen, zou ik het niet gek vinden als mijn bank die betaling bevriest en even contact met mij opneemt.

Als de transactie vanuit een compleet afwijkend adres wordt uitgevoerd (laten we zeggen, vanuit Nigeria, in plaats van Polen (in het voorbeeld)), zou het ook niet gek zijn als ze hem even bevriezen.

Als de bank geen MFA forceert bij transacties, is de bank wat mij betreft überhaupt nalatig.

En zelfs in het geval van MFA, zou je zelfs nog een extra opvallend veld (desnoods met een 3 seconde vertraging bij de bevestiging), dat het een 'afwijkende transactie' is.

De bank kan juist heel veel doen om dit probleem te verminderen. Uiteraard ligt er ook een stukje verantwoordelijkheid bij de klant. Die moet ook goed opletten. Maar ik vind het niet gek dat een bank ook een stukje zorgplicht op zich neemt, en de klant de hand boven het hoofd houdt.
Reageer
Sissors @lenwar10 maart 2026 16:04
Stel ik spontaan 1793 euro naar een private bankrekening in Mongolië wil doen, zou ik het niet gek vinden als mijn bank die betaling bevriest en even contact met mij opneemt.
En moet je eens kijken hoeveel mensen ook op een Tweakers totaal niet blij zijn wanneer de bank dat doet. Er is immers nog een veel eenvoudigere methode om je geld in Mongolië te krijgen: Via crypto. Maar als je ineens een €1800 naar een crypto platform overmaakt (wat laten we wel wezen, nou niet zo'n exotisch bedrag is), wil je dan dat je betaling of zelfs de hele bankrekening wordt bevroren tot alles is uitgezocht?

En sommige zullen daarop zeggen: "Ja". Maar zat ook niet.
Reageer
lenwar
@Sissors10 maart 2026 16:13
wil je dan dat je betaling of zelfs de hele bankrekening wordt bevroren tot alles is uitgezocht?
Nee, ik zou het fijn vinden als die ene transactie wordt bevroren, totdat ik heb bevestigd dat het klopt. Niet heel m'n bankrekening hoeft dicht.
En moet je eens kijken hoeveel mensen ook op een Tweakers totaal niet blij zijn wanneer de bank dat doet.
Ik zou om eerlijk te zijn niet weten waarom.

Mijn persoonlijke ervaring. Ik was in Duitsland in een fotografiewinkel. Ik kocht daar iets met een creditcard. Ik was wat vergeten, en betaalde daarna nog een keer. Dat werkte niet. Ik had zat saldo. Maximaal 20 seconden later werd ik door Mastercard gebeld, met de vraag of het klopt dat ik dat wilde doen. Ik bevestigde dat, en toen was het goed.

Twee keer achter elkaar een betaling in een luxeproductenwinkel in het buitenland was voor mij afwijkend gedrag.

Bovenstaande is puur anekdotisch en ondertussen waarschijnlijk 15 jaar geleden. Tegenwoordig zullen ze het mogelijk slimmer kunnen doen.
Reageer
trapper @lenwar11 maart 2026 09:47
Mijn persoonlijke ervaring. Ik was in Duitsland in een fotografiewinkel. Ik kocht daar iets met een creditcard. Ik was wat vergeten, en betaalde daarna nog een keer. Dat werkte niet. Ik had zat saldo. Maximaal 20 seconden later werd ik door Mastercard gebeld, met de vraag of het klopt dat ik dat wilde doen. Ik bevestigde dat, en toen was het goed.
Enige terughoudendheid m.b.t. betalingen vind ik in het algemeen een goed idee, toch is bovenstaande soms ook een probleem, ik heb iets vergelijkbaars ooit in Indonesie bij de hand gehad, geen GSM bereik, en geen PIN automaten in de buurt. Hoe krijg je dan nog iets betaald?
Reageer
lenwar
@trapper11 maart 2026 09:55
Dat is zeker een valide punt, en dat is dan ook echt gedoe. Het was bij mij ook alleen die 'tweede betaling' bij die fotografiewinkel die blokkeerde.

Het is denk ik ook erg lastig om een 'dekkend systeem' te bedenken, dat een 'redelijk goede bescherming biedt', en een minimale negatieve impact heeft.
Reageer
Marcel Br @trapper11 maart 2026 11:35
Waarschijnlijk werd die transactie ook pas achteraf geregistreerd dus zou het wel goed gaan (ook voor een fraudeur)
Reageer
trapper @Marcel Br11 maart 2026 11:43
Nou die transactie ging dus helemaal niet goed, want de credit card was geblokkeerd. Ik moest echt op zoek naar een PIN automaat om met mijn bankpas contanten te pinnen (met de bankpas kon ik in de winkel niet betalen). Daarna weer terug naar de winkel (en dus met veel contanten over straat).
Reageer
croc @Sissors10 maart 2026 16:25
Je zou in verstaanbare taal een melding kunnen sturen naar de gebruiker via een ander kanaal, bvb email, waarom bevestigd moet worden (na opnieuw inloggen in de bank natuurlijk) alvorens de afwijkende betaling wordt uitgevoerd.

Het probleem nu is dat mensen niet beseffen dat ze eigenlijk een overschrijving goedkeuren ipv een "nieuwe kaartlezer aan te vragen" oid.

Geen noemenswaardige vertraging en niet meer werk voor de supportafdeling van de bank.
Reageer
logix147 @Sissors10 maart 2026 16:44
Ik zou het prettig vinden als die mogelijkheden er komen.

Een bank zou prima moeten kunnen aanbieden dat jij als eindgebruiker geen betalingen wilt doen:
  1. Bank betalingen buiten de Eurozone
  2. Direct geld overboeken naar buitenlandse rekeningnummers
  3. 2FA op je betaling aanzetten door bijv. altijd met je telefoon en/of tweede factor moet authentiseren
Ik denk dat 4. het niet kunnen overmaken naar een crypto handelaar ook mogelijk zou moeten zijn, maar ik weet niet of een bank snel kan en mag zien aan een rekeningnummer welke bedrijven in Crypto handelen - dit lijkt me technisch gezien wel te doen, maar of het mag geen idee.

Maar optie 1,2 en 3 zijn volgens mij prima inrichtingen die iemand zelf zou moeten kunnen aanzetten in de online omgeving.
Reageer
Byron010 @Sissors10 maart 2026 17:14
Ik maakte een paar maanden geleden zo'n 1500,- over naar Kraken (een vrij bekend crypto platform), en mijn rekening werd direct geblokkeerd door de rabobank met het bericht dat ik binnen ~3 uur een belletje zou ontvangen van een service medewerker om te verifieren of dit wel klopte.

1 belletje later waarin ze heel duidelijk navragen waar de transactie voor was en het checken met transacties uit het verleden (inzicht in het feit dat ik ook ooit een account op coinbase en bitvavo heb gehad - immers gekoppeld aan dezelfde bankrekening) was het opgelost en de blokkade opgeheven. Hoewel op het moment "vervelend", vond ik het juist heel erg goed dat ze dit deden, want het had inderdaad zomaar iemand anders kunnen zijn.
Reageer
Mit-46 @lenwar10 maart 2026 19:07
Ik heb dit al meerdere keren gehad bij de ING. Vreselijk irritant. Wel telkens bij de aankoop van een auto en dus voor mijn doen een transactie met een hoog bedrag.

Op het moment dat ze jouw transactie blokkeren terwijl jezelf bewust een correcte transactie uitvoert is dit vreselijk irritant. Voordat het is vrijgegeven ben je zomaar een uur verder (incl. bellen, wachten, etc.). Sta je dan.

Wanneer je een keer wel de pineut bent zou het wel prettig zijn.

Wellicht is het blokkeren van een transactie niet de juiste manier, maar moet je een transactie terug kunnen draaien zodat je het zelf in de hand hebt.
Hoe dat in de praktijk kan werken met alle haken en ogen weet ik zo gauw niet, maar dat lijkt mij een prettigere manier.

[Reactie gewijzigd door Mit-46 op 10 maart 2026 19:11]

Reageer
Krulliebol @Mit-4611 maart 2026 04:44
Wat vervelend voor je dat je zo vaak auto's koopt dat je hier last van hebt. Persoonlijk doe ik zulke aankopen nooit impulsief, dus voor mij zou een uurtje wachten geen probleem zijn. Ik zou me er vooraf op voorbereiden, mijn limiet verhogen en mogelijk het geld alvast overmaken. Misschien ook een idee voor jou?
Reageer
Thijs_Rallye @Krulliebol11 maart 2026 12:46
Daar gaat het toch helemaal niet om. Het is jouw geld, je dient daarover te kunnen beschikken wanneer het jou uitkomt. Niet wanneer het de bank uitkomt.
Reageer
Mit-46 @Krulliebol11 maart 2026 09:46
Waar lees jij dat ik aangeef dat ik vaak auto's koop?

Ik heb ook nog nooit een auto impulsief en zonder voorbereiding gekocht.

Daarnaast ook nog nooit zonder mijn limiet te verhogen. Wanneer je jouw limiet niet verhoogt bij de ING krijg je niet te maken met hetgeen wat ik aangeef, want dan krijg je tijdens de transactie de melding dat je limiet niet toereikend is.
Dat is heel iets anders dan dat de transactie door de bank wordt geblokkeerd. Wanneer je limiet niet verhoogt is en daarmee niet toereikend is hoeven ze ook niets te blokkeren, omdat ze het verdacht vinden.

Geld van te voren overmaken vind ik een heel slecht idee tenzij je bij een betrouwbare handelaar jouw auto koopt, maar ik ben vooralsnog altijd uitgekomen bij een particulier en dan maak ik geen geld van te voren over, want ik ken diegene niet.
Daarnaast vind ik handelaren, zeker autohandelaren, vaak niet betrouwbaar.

Wanneer je om 17.00 uur bij PostNL aankomt om de auto over te schrijven en je moet vervolgens een uur wachten is het al bijna sluitingstijd en kan je dus morgen terugkomen als je pech hebt. Best teleurstellend.

[Reactie gewijzigd door Mit-46 op 11 maart 2026 09:51]

Reageer
lenwar
@Mit-4610 maart 2026 20:00
Het kan inderdaad lastig zijn, daar ga ik zo in mee. Er is denk ik niet een perfecte manier, die ‘heel goed beschermd’ en tegelijk ‘vrijwel niet in de weg zit’.

Terugboeken is natuurlijk ook niet ‘de oplossing’, want daar gaat ook misbruik van gemaakt worden, en dan moet de andere (al dan niet Nederlandse/Belgische) bank daar ook aan meewerken.

Misschien iets van een dag vantevoren in je app kunnen instellen dat je het (ongeveer) bedrag en de begunstigde alvast kunt aangeven. (Meestal weet je 24 uur vantevoren wel als je een groter bedrag gaat uitgeven.) Ook niet ideaal natuurlijk, maar allicht vriendelijker?
Reageer
Mit-46 @lenwar10 maart 2026 20:25
Dat moet bij de ING al voor hogere bedragen. Dat maakte het extra irritant (in mijn geval).

Je stelt dat in en volgens mij is het max 24 uur oid geldig. Je moet het ook nog eens apart instellen voor bijvoorbeeld je pinpas of de app. Dan nog gedoe kan enorm frustreren.

Dat moet toch wel beter kunnen. Ben het met je eens dat aan terugboeken haken en ogen zitten. Zonder dat goed uit te denken is het niet zomaar een oplossing, maar wellicht op een manier.
Reageer
Blokker_1999
@lenwar10 maart 2026 20:04
Je kan bij geen enkele bank aanmelden zonder MFA. Hoe denk je dat die oplichters trouwens te werk gaan? Het noemt oplichting met een reden. Men overtuigt net mensen via de telefoon om zelf de transactie uit te voeren, om zelf het geld over te schrijven en zelf alle vormen van beveiliging die de client natuurlijk kan doen uit te voeren.

Dat is niet ineens iemand die vanuit verwegistan inlogt om geld naar de andere kant van de wereld te sturen. Dat gebeurt vanop hetzelfde apparaat vanwaar de gebruiker regelmatig aanmeld.

En wat ga je doen met zo een melding wanneer de gebruiker net geloofd dat zij met een bankmedewerker aan het bellen zijn? Die gebruiker gaat dat gewoon aan die oplichter vragen die rustig zal antwoorden dat die melding gewoon genegeerd mag worden. Niets aan de hand. Vergeet niet dat je namelijk net gebeld wordt omdat er verdachte handellingen zijn vastgesteld en je nu net geholpen wordt om je geld veilig weg te zetten op een nieuwe, tijdelijke rekening. Alles komt goed.
Reageer
b12e @2Keys10 maart 2026 15:44
Niet eens overschrijven.

als je je gegevens aan een phisher geeft, moet die eerst nog inloggen op een nieuw apparaat. Doe dat met een Itsme, Digid, MyGov, en dergelijke en het wordt al vele malen moeilijker voor een phisher om zomaar aan de hand van een ingevuld formulier toegang te krijgen tot iemand zijn of haar rekeningen.

Bvb MitId in Denemarken vereist dat degene die probeert in te loggen een QR code scant op het scherm. Zodra die code gescant wordt toont de website gelijk een tweede QR code die tevens wordt gescand op hetzelfde moment (om oa screenshots tegen te gaan).

Als je dat vereist op een nieuw apparaat dan kan je in elk geval al toegang tot online banking beter blokkeren.

Verder kan je ook elke overschrijving boven x euro, elke nieuwe ontvanger en elke y'e overschrijving naar dezelfde ontvanger om 2FA vragen. Zo maak je het leven van een aantal van deze boeven een stuk moeilijker.
Reageer
Skit3000 @2Keys10 maart 2026 15:46
Behalve als de bank kan aantonen dat er duidelijk op je tweede apparaat op het scherm groot "Je gaat nu 5.000 euro overmaken aan De Zware Jongens B.V." stond en dat je zelf op Bevestigen hebt getikt is er misschien iets te zeggen over dat men beter had moeten weten. Stond er "ING Bonk N.V." dan kan je als klant weer aandragen dat ING dit zelf had kunnen voorkomen etc. Maar, ik denk dat het probleem nu is dat mensen een telefoontje krijgen "van de bank" met de vraag "even op bevestigen te drukken" zonder dat het voor hen altijd heel inzichtelijk is dat dit om fraude gaat.
Reageer
Blokker_1999
@2Keys10 maart 2026 20:00
Het gaar niet eens om de 2FA, oplichters bellen vandaag, laten je je computer gebruiken waarna zij remote de controle overnemen en bewegen jouw ertoe om geld over te schrijven en net de MFA te bevestigen die daarvoor nodig is. Zogezegd om net je geld veilig te stellen.

Wat ik vooral schrijnend vind is dat de laatste weken er zowat elke dag een verhaal in het nieuws is van iemand die zich zo laat oplichten. Elke keer gaat het om grote bedragen die verdwijnen, en elke keer wordt het gekker en gekker. Heb nu al verhalen gelezen van mensen die de verhalen van anderen wel degelijk gehoord hadden en er alsnog met beide voeten inwandellen. Zelfs al grappend aan de oplichters vragen of het toch geen oplichters zijn ... om dan toch maar braafjes het geld over te schrijven.

Het klopt dat een bank daar niet veel aan kan doen.
Reageer
EnigmA-X @Blokker_199910 maart 2026 20:49
Het klopt dat een bank daar niet veel aan kan doen.
Niet mee eens. De banken zouden best iets meer kunnen investeren in preventie van dit soort praktijken.

Genoemd zijn al afwijkende patronen (geen gebruikelijke tijden voor die klant, grote(re) bedragen, buitenlandse / verdachte bankrekeningen)

Indien er een rode vlag is, een gelaagde aanpak. Bijvoorbeeld een vraag: "waarom maak je dit bedrag over", een antwoord ("de bank vraagt me dit" - of iets in die richting) is een extra rode vlag.

Bij 1 of 2 rode vlaggen - de transactie bevriezen tot er telefonisch contact is geweest.

Verder: standaard slot op spaarrekening met 24 uur cooldown en waarschuwing bij veel saldo op betaalrekening.

Verder hoeft het niet zo'n zwart/wit discussie te zijn. Een bank zou dit prima als standaard kunnen invoeren, met een opt-out mogelijkheid waarbij klanten ervoor kunnen kiezen dit uit te zetten (uiteraard met daarna consequenties rondom de bank aansprakelijk kunnen stellen). Dat uitzetten zou gewoon een cooldown van 2 weken kunnen hebben, aangevuld met een gesprekje wederom geinitieerd door de bank.

Belangrijk lijkt mij dat zoiets vooral standaard wordt (met opt-out). Slachtoffers zijn meestal niet de meest scherpen van geest.

Het moet gewoon veel onaantrekkelijker gemaakt worden om iemand snel geld afhandig te kunnen maken.

Punt is, banken proberen ook zoveel mogelijk geld te verdienen door zo min mogelijk kosten te maken. Meestal zijn dit soort issues alleen maar op te lossen door regelgeving - anders is het incentive niet groot genoeg.

[Reactie gewijzigd door EnigmA-X op 10 maart 2026 20:50]

Reageer
audb @2Keys11 maart 2026 13:30
Als er een (zeer) groot bedrag van een rekening af gehaald wordt dan kan de bank wel degelijk ingrijpen.
Vooral de Rabobank doet dit geregeld en bellen dan de klant op met de vraag of het wel klopt.
Maar ze kunnen het ook tijdelijk vast houden voor dat ze over gaan tot betaling en ook dan de klant laten weten dat het van de rekening afgehaald wordt.
Reageer
DonChaot @bigbuddha10 maart 2026 15:41
Ondertussen kan je toch onderhand wel stellen dat moeten inloggen bij je bank op verzoek van de koper om een betaling te ontvangen toch echt wel te denken moet geven. De link sturen is misleiding uiteraard maar dat er ingetrapt wordt is toch echt onkunde.
Reageer
bigbuddha @DonChaot10 maart 2026 16:13
Wat mij stoort is dat men phishing vaak reduceert tot “onkunde van het slachtoffer”. Dat is een te simplistische voorstelling. In deze snelle, veranderlijke, digitale wereld is dit voor jou of mij misschien nog te overzien, maar voor de Klaas die hele dagen als tuinman werk of de Oma van Sandra is dit niet zo evident.

Phishing is trouwens per definitie gebaseerd op misleiding. Criminelen bootsen interfaces, communicatie en procedures van banken of andere diensten na om mensen doelbewust te manipuleren. Het gaat dus niet enkel om iemand die “dom” zijn gegevens afgeeft, maar om een aanval die ontworpen is om vertrouwen te misbruiken.

De realiteit is bovendien dat phishing steeds professioneler wordt. Zelfs consumentenorganisaties wijzen erop dat oplichting vandaag vaak zeer overtuigend en moeilijk te herkennen is.

Daarom vind ik het te makkelijk om alles op “onkunde” te schuiven.
Reageer
DonChaot @bigbuddha10 maart 2026 16:37
Phising wordt inderdaad steeds professioneler, dat klopt helemaal. Met gemakkelijk toegankelijke ai zal dit ook alleen maar toenemen en 'verbeteren'. Ik heb al mails langs zien komen die echt wel overtuigend waren.

Toch ontslaat die niemand om zichzelf basale vragen te stellen. Waarom wil een vreemde van Marktplaats van wie ik geld moet gaan krijgen dat ik inlog op een banksite? Dit met een link die die vreemde mij stuurt. Volgens mij hoort er dan bij iedereen een rode vlag op te gaan, ook voor Klaas en Oma. Als het over geld gaat is het altijd verstandig om een gezond wantrouwen te hebben ten opzichte van anderen.
Reageer
keejoz @bigbuddha10 maart 2026 16:10
In Belgie is dit ook een hot topic en daar zitten soms gevallen bij waar men letterlijk de bankgegevens aan een (valse) Proximus technieker doorgeeft. Waarom je in godsnaam je bankgegevens en 2FA codes aan je ISP zou geven is mij een raadsel maar ook dit zou terugbetaald worden in dit geval.
Reageer
drdelta @keejoz10 maart 2026 16:23
Omdat "Promixus" je opbelt en zegt dat ze anders per direct je internet afsluiten, omdat je hebt al weken niet betaald hebt!

Het is voor mij niet bepaald een raadsel waarom iemand het zou doen, maar eerder waarom het zo makkelijk gehouden wordt door banken om misbruik te maken van de onwetendheid van haar klanten.

Veel klanten zullen simpelweg niet begrijpen dat zo'n MFA token misbruikt kan worden door een derde om ongewenste betalingen mee te kunnen doen.
Reageer
Thekilldevilhil @drdelta10 maart 2026 16:26
Het is voor mij niet bepaald een raadsel waarom iemand het zou doen, maar eerder waarom het zo makkelijk gehouden wordt door banken om misbruik te maken van de onwetendheid van haar klanten.
Maar wat wil je praktisch gezien dat de bank doet dan? Als iemand zowel de inloggegevens en de 2FA codes weggeeft dan is het ergens toch ook wel een beetje klaar? Ik zeg niet dat we mensen niet schadeloos hoeven te stellen, maar op welke manier wil je dat een bank hier wat aan gaat doen.
Reageer
kftnl @Thekilldevilhil10 maart 2026 16:36
Tja, banken vonden het zelf niet meer nodig om kantoren te hebben waar je allerlei dingen fysiek met een ID in de hand kunt doen. Als zij alles via de app willen doen - zelfs voor bijv. bepaalde ouderen die dat helemaal niet willen - dan is dat toch hun probleem hoe ze dat veilig willen maken?
Reageer
Aetje @bigbuddha10 maart 2026 16:17
Maar het is nog steeds de gebruiker die de transactie wel authoriseert (door de eigen gegevens in te vullen). Grijs gebied dit. Persoonlijk denk ik dat dit over de gehele keten moet... wanneer er duidelijk met phishing te maken is, dat de bank de transactie terugdraait, en van de bank en/of betalingsinstantie die het geld ontving, daar een terugvordering doet. Zodat de "bank" van de criminelen de klap incasseert en er een impuls is om het criminelen ongemakkelijk te maken. Wanneer een financiele instantie hier niet aan meewerkt? Blacklist en doei.
Reageer
lenwar
@2Keys10 maart 2026 15:31
Het voorbeeldincident maakt het wat mij betreft wel meer genuanceerd.
Het slachtoffer vulde hierop de bankgegevens in, waarna de crimineel kon inloggen en geld kon stelen.
Dit zinnetje suggereert voor mij dat de bank geen MFA forceert voor transacties. In het geval van financiële transacties, zie ik dit eigenlijk als nalatig van de bank. (mits dit klopt.)

In het geval van de opgegeven uitzondering Fraude. Gaat het om fraude van de klant zelf. (dus als de bank denkt, dat het verzoek tot compensatie zelf frauduleus is.
In his Opinion, Advocate General Athanasios Rantos considers that EU law 3 requires the bank, as a first step, to refund immediately the amount of the unauthorised transaction, unless it has good reason to suspect fraud, which it must communicate in writing to the competent national authority.
En let wel. De bank mag uiteindelijk het geld weer terug eisen. Het gaat erom dat de gedupeerde in eerste instantie gecompenseerd wordt en niet oeverloos hoeft te wachten totdat de bank is besluit het onderzoek te doen.
However, that refund is not final. Subsequently, if the bank establishes that the customer has failed, intentionally or through gross negligence, to fulfil one of the obligations relating, in particular, to personalised security data, 5 it may require the customer to bear the corresponding losses. If the customer refuses to reimburse the amount of the unauthorised transaction, it is up to the bank to take legal action against that person to obtain payment.
Reageer
Stijnvi @lenwar10 maart 2026 15:47
Dit zinnetje suggereert voor mij dat de bank geen MFA forceert voor transacties. In het geval van financiële transacties, zie ik dit eigenlijk als nalatig van de bank. (mits dit klopt.)
Ik begreep het op dezelfde manier: de bank in kwestie hanteert geen MFA, of een slechte vorm hiervan, en de klant is hier slachtoffer van. Het zou namelijk niet mogelijk moeten zijn dat een bepaalde partij toegang krijgt tot jouw rekening simpelweg doordat je jouw gegevens invult op een frauduleuze website. In Nederland zie je bij iDeal bijvoorbeeld op je telefoon hoe hoog het bedrag van de transactie is voordat je akkoord gaat met de betaling. Als daar dan €1.000 staat en je gaat akkoord, terwijl je dacht €10 te betalen, dan is het wel gewoon je eigen fout en kan de bank alsnog eisen dat je betaalt.
Reageer
Daoka @Stijnvi10 maart 2026 16:39
Als daar dan €1.000 staat en je gaat akkoord, terwijl je dacht €10 te betalen, dan is het wel gewoon je eigen fout en kan de bank alsnog eisen dat je betaalt
Ergens ben ik het met je eens. Met geld zaken zou je iets beter moeten opletten. Maar aan de andere kant als iets 999 keer goed gaat verwacht jij dat duizendste keer fout gaat? Mede ook het dus miljoenen of misschien zelfs miljarden keren per dag in je land / wereldwijd ook gewoon goed gaat? Ik voorzie zeker wel dat mensen een gewoonte / vertrouwen krijgen in iets en dus niet meer controleren. Eigen schuld misschien maar ook gewoon menselijk.

En kijk jij bij elke betaling echt of het https is (En ja ik weet dat eigenlijk elke browser hier een controle op heeft. Maar ook hier zou een bug kunnen komen. En ik vind het een mooi voorbeeld omdat dit dus zoveel op geadverteerd is om dit te doen)? En controleeer je dat de betalingswebsite waar naartoe gelinkt wordt de juiste domeinnaam is? Want bol.com (en elke andere site) kan ook gehackt worden en verwijzen naar een nep Mollie, Buckaroo of welke andere Ideal betaling verwerkers dan ook. Het is ook maar een kleine moeite om te kijken of je echt op mollie zit (zeker voor een tweaker) en niet op nnollie of bockaroo zit. Dat bol.com gehackt zou zijn kan je niets aan doen maar niet de domeinnaam controleren is dus ook eigen schuld.

Uiteindelijk is het dus een vertrouwen wat er is maar misschien ook wel gedeeltelijk overmoedigd denken van daar trap ik niet in.
Reageer
Stijnvi @Daoka10 maart 2026 17:06
Ik snap je punt, en ik controleer de domeinnaam en de https zelf inderdaad ook niet altijd volledig. Maar ik denk wel dat het goed is om hier onderscheid te maken tussen de twee verschillende factoren van het probleem. Naar wie je het overmaakt, en hoeveel je overmaakt. Naar wie je het geld overmaakt is heel moeilijk te controleren bij een online betaling, omdat dat bijna altijd via een tussenpartij zoals Mollie loopt. Het bedrag daarentegen is wel gewoon goed te controleren. In dit geval ging het erom dat een vrouw haar gegevens ergens had ingevuld, en vervolgens haar hele rekening werd geplunderd. Dat zij haar gegevens invult bij een verkeerde partij is één deel van het probleem, dat die partij vervolgens haar hele rekening kon plunderen is een ander deel van het probleem. En dat laatste is voor zover ik begrijp waar de bank voornamelijk aansprakelijk voor is.

Stel ik vul mijn gegevens in op een neppe website van bol o.i.d., en ik denk daar iets van €50 te bestellen. Dan moet ik bij iDeal op mijn telefoon (of voorheen op zo'n pasjesscanner) alsnog bevestigen dat het inderdaad €50 is wat ik wil betalen. En daar let ik weldegelijk op, en ik denk de meeste mensen. Dan kan het wel naar een oplichter gaan, maar ik ben dan hooguit €50 kwijt. Jammer, maar (gelukkig in mijn situatie) geen ramp. Het moet natuurlijk niet kunnen dat je bij een betaling geen akkoord hoeft te geven op een ander apparaat, waardoor een oplichter dus zomaar duizenden euro's af kan schrijven.
Reageer
watercoolertje @2Keys10 maart 2026 15:27
Daarnaast lijkt bankphishing me altijd fraude, wat kan dit anders zijn?
Dat klopt, die zin moet je denk ik anders lezen.

Het gaat er meer om of de geldzender en ontvanger samenwerken en dus proberen gratis geld te vangen van de bank, dus ik maak geld naar jou over jij sluist het weg, ik doe een claim en krijg gratis geld van de bank, samen hebben we mijn geld verdubbeld ten koste van de bank. (denk ik)

Zo staat het in de bron:
In his Opinion, Advocate General Athanasios Rantos considers that EU law 3 requires the bank, as a first step, to refund immediately the amount of the unauthorised transaction, unless it has good reason to suspect fraud, which it must communicate in writing to the competent national authority.

[Reactie gewijzigd door watercoolertje op 10 maart 2026 15:29]

Reageer
D4NG3R @watercoolertje10 maart 2026 15:33
Het ding is alleen dat het (naar mijn mening) niet om een 'unauthorised' transaction gaat, de eindgebruiker heeft hier expliciet toestemming voor gegeven. Achteraf spijt hebben maakt nog niet dat er oorspronkelijk geen toestemming is gegeven.

Ik vind het een vrij omgekeerde wereld, eerst betalen en dan onderzoeken. Het spoort de gebruiker ook niet echt aan om in het vervolg voorzichtig(er) te zijn; het geld krijg je immers toch wel direct terug.

Te snel door het artikel heen gelezen, het gaat om een genepte bank login, niet enkel een genepte betaling.

[Reactie gewijzigd door D4NG3R op 10 maart 2026 15:46]

Reageer
Jaldea @D4NG3R10 maart 2026 15:38
Het is niet zomaar een overboeking naar een rekeningnummer, waar ze spijt van had, ze werd gedupeerd, los van de aankoop werd er geld van haar rekening gestolen door een neppe bank site.

Het zal dus onderzocht worden in welke vorm er nalatig is omgegaan met haar gegevens, als je spijt hebt van een aankoop is dat een heel ander verhaal.

[Reactie gewijzigd door Jaldea op 10 maart 2026 15:39]

Reageer
Dexlat @D4NG3R10 maart 2026 15:40
Voorbeeld:

Bericht via interne communicate van booking website.

Ga je dus vanuit dat het official is.

Bleek dat het interne system van booking gehacked is.

Nu aan jou de vraag hoe de gebruiker in dit geval beter onderzoek had kunnen doen?
Reageer
Durandal @D4NG3R10 maart 2026 15:43
De bank heeft in opdracht van de phiser (want inloggegevens buitgemaakt) geld van de rekening van de klant afgehaald (het eigendom van de klant) en aan de phiser gegeven. De klant heeft daarvoor geen toestemming of opdracht gegeven.
De bank moet controleren of het wel de klant is die opdacht geeft.

Daarbij is de bank een professional en de klant een consument, en ook nog een die geen invloed heeft op de beveiligingssystemen verder dan 'je wachtwoord niet openbaren' of iets in categorie. De professional moet zijn zaken op orde hebben en verder checken dan je van een consument kan verwachten. Nu het risiko/de bewijslast bij de bank ligt gaan ze dit misschien wat serieuzer nemen.
Reageer
bkor @D4NG3R10 maart 2026 15:43
Het ding is alleen dat het (naar mijn mening) niet om een 'unauthorised' transaction gaat, de eindgebruiker heeft hier expliciet toestemming voor gegeven. Achteraf spijt hebben maakt nog niet dat er oorspronkelijk geen toestemming is gegeven.
Waar zie je dat staan dan? Ik zie alleen dat een klant login gegevens invulde op een phishing site. Vervolgens zijn die gegevens gebruikt om geld over te maken. Ik zie niet dat er expliciet toestemming voor een transactie is gegeven.
Reageer
wiseger
@2Keys10 maart 2026 15:26
De uitzondering is fraude van de kant van de klant. De uitzondering is niet als het gaat om een argeloze klant die het slachtoffer wordt van fraude.
Reageer
RRRobert @2Keys10 maart 2026 15:45
Sorry hoor maar waarom. Het onkunde van de gebruiker is het probleem van het platform?
Sorry hoor, maar sinds de banken de mens als intermediair grotendeels heeft uitgeschakeld en zeer dwingend aanstuurt op online dienstverlening, mag onkunde nooit een excuus zijn om een claim af te wijzen.

Voor de doorsnee tweakers mag het online bankieren misschien een vanzelfsprekendheid zijn, voor veel andere mensen is en blijft dit gewoon een enorme uitdaging. Dat kan liggen aan de leeftijd, de mate opleiding of geletterdheid, of niet zelden de drempelvrees voor het gebruik van elektronica, websites of app, of wat dan ook. Ik ze dit niet alleen bij oude(re) familieleden, maar zelfs bij bijvoorbeeld mensen met een afgeronde HBO opleiding.

De banken kiezen uit kostenoverwegingen voor deze vorm van dienstverlening; laat ze dat dan ook maar op een nette wijze de verantwoordelijkheid en de risico's daarvoor dragen. Vroeger moesten ze zich tenslotte ook zelf beveiligen tegen bankovervallen; dat werd tenslotte ook niet op de klanten afgewenteld.
Reageer
Linux gebruiker @2Keys10 maart 2026 15:50
Sorry hoor maar waarom. Het onkunde van de gebruiker is het probleem van het platform?

Er is geen garantie dat de bank dit geld terug krijgt van de rekening van de fraudeur. Dit zijn dus allemaal kosten die wij, als rekeninghouders, moeten gaan dekken.

Daarnaast lijkt bankphishing me altijd fraude, wat kan dit anders zijn?
Je zou het ook anders kunnen benaderen; toch nog iemand die kijkt naar het belang van de klant, en de ballen heeft om voor klanten op te komen. Het gaat in het artikel over bankphishing, niet over iemand de pas en onpas zijn/haar inlog en pincode met de halve wereld deelt.
Reageer
segil @2Keys10 maart 2026 15:54
het is anders wel de bank die de gebruikers met een zachte hand dwingt online bankzaken te doen, door fysieke filialen steeds vaker te sluiten. Daarbij is de verantwoording van veilig bankzaken van de bank naar de klant verschoven. Vroeger ging je naar bank, vulde een overschrijvingsformulier in en na een id check deed de bank de rest. Nu moet je zelf als klant de verantwoording dragen dat je systeem up-to-date is, geen malware heeft, niemand mee kijkt en je controleert dat de website klopt en niet toevallig een kopie is.

Dat jij praat over onkunde geeft m.i. al aan dat jij het prima vindt dat al deze verantwoording bij de klant neergelegd is. Ik vind het logischer dat de bank ook hun eigen verantwoording neemt en de klant tegemoet komt.
Reageer
Nimac91 @2Keys10 maart 2026 16:20
Het gaat erom dat de veiligheid van de bank niet goed genoeg was waardoor deze situatie kon ontstaan. Phishing zou niet mogelijk moeten zijn voor online bankieren als hier goed mee wordt omgegaan. Een ongeidentificeerde hardware product zou niet zomaar moeten kunnen inloggen bij iemands bank. En ook bij zo'n betaling of het overmaken zou hier een andere methode van verificatie voor moeten zijn.

Bij ING kun je zonder je mobiel bij de hand te hebben niks overmaken. Dus overseas kan dat ook zeker niet. En jij kan zeker niet iets naar jezelf overmaken als je inlogt met mijn bankgegevens. Je hebt nog altijd mijn smartphone nodig en pincode. En ook zelfs als je de credit card gegevens hebt moet een bank kunnen blokkeren als ze iets geks zien.

ING heeft mijn creditcard ooit geblokkeerd want er kwam ineens een heel gek betaal verzoek binnen uit een hele random locatie. Een naaimachine vanuit Cambodja wat werd besteld. Mijn kaart werd direct geblokkeerd en die betaling ook. Ik wist van niks. Bij het bellen met ING werd mij verteld dat ze altijd checken naar locaties, hoogte van de betaling, type product of dienst wat wordt afgenomen en zo nog heel veel andere zaken hebben die ze monitoren. Als iets heel gek is wordt direct de betaling geblokkeerd. Ook als de locatie in hetzelfde land geweest was wordt er ook gekeken naar de hoogte van de betaling en het type betaling. Een dief zal zeer waarschijnlijk een ontzettend groot bedrag op een andere rekening storten. Tevens geld er ook altijd een daglimiet en wil je dit wijzigen moet je bij ING meerdere uren wachten voor dat in gaat en wordt dat bericht eerst nog in de app en per mail gedeeld voor geval jij dit niet had gedaan. Tevens springt dat daglimiet ook vanzelf weer terug.

Kortom, genoeg zaken om toch de bank de schuld ervan te geven dat dit is gebeurd.
Reageer
bzuidgeest
@2Keys10 maart 2026 16:27
Wij betalen de bank om ons geld te beschermen. Wat mij betreft is dat ook tegen oplichting. Als iemand geld kan stellen met een nepsite heeft zoals men hier graag zegt "de bank zijn beveiliging niet genoeg op orde"

Ik denk dat de bank ook actief moet zoeken naar nepsite en nep apps. Wellicht doen ze dat al.

En aan het einde van de dag hebben banken hier een zorgplicht. Daar hoort bestreiden en voorkomen van fraude bij. En phishing is wat mij betreft fraude.
Reageer
memphis @2Keys10 maart 2026 16:36
Natuurlijk is de gebruiker ook verantwoordelijk maar we hebben anno 2026 nog steeds te maken met ondeskundige computergebruikers die blij zijn dat ze de (beperkte) kunde hebben hun geldzaken op de computer kunnen doen. Het is ook aan de bank zijn klanten in te lichten over de gevaren als ook het een taak is van de bank om phishing niet zomaar makkelijk te maken middels oa een kaartlezer, key generator of 2FA
Reageer
WargamingPlayer @2Keys10 maart 2026 21:04
“Onkunde van de gebruiker” is wel een heel erg denigrerende stelling. Zeker in een tijd dat niet iedereen IT guru is. Bovendien kan dit iedereen overkomen, zelfs de meest slimme mensen.

Omdat we gedwongen worden om alles digitaal te doen moeten alle instellingen een dermate systeem ontwikkelen dat iedereen “veilig” kan meedoen. OOK mensen welke niks met digitaal hebben. Dat is niet optioneel maar gewoon een (zorg)plicht. En zolang dit niet kan moet het risico bij die aanbieders liggen.
Reageer
joldemans @2Keys10 maart 2026 15:34
Helemaal mee eens. Mensen leren het ook gewoon niet wanneer er altijd maar 4 matrassen onder ze ligt om de val op te vangen. Ik raak persoonlijk ook echt geïrriteerd als ik weer eens tegen z'n "doe voorzichtig" maatregel aanloop in m'n bank app. 4u wachten om gebruik te kunnen maken van een hogere daglimiet... ik wil gewoon graag NU aan m'n geld.

Ik snap best dat criminelen zeer gerafineerd te werk gaan, maar denk even kritisch na voordat je ergens op klikt of geld overmaakt.

Sowieso, vind ik het vreemd dat een bank hiervoor zou moeten opdraaien? Bestaan er geen consumenten verzekeringen voor dit soort zaken?
Reageer
lenwar
@joldemans10 maart 2026 15:47
Sowieso, vind ik het vreemd dat een bank hiervoor zou moeten opdraaien?
Lees het artikel is goed.
De bank moet 'in eerste instantie' het geld vergoeden aan de klant.
Als klanten bewust of door ernstig nalatig gedrag hun inloggegevens lekken, kan het wel zo zijn dat de klant het geld moet terugbetalen.
Maar als blijkt dat de klant z'n gezonde verstand niet heeft gebruikt, kan de bank het geld dus terugvorderen.

Deze methodiek lijkt tegenstrijdig, maar het forceert de bank wel om de veiligheid (laten we zeggen, onder andere, MFA te forceren) op te hogen.
Reageer
bkor @2Keys10 maart 2026 15:31
Daarnaast lijkt bankphishing me altijd fraude, wat kan dit anders zijn?
Die fraude slaat heel waarschijnlijk op fraude gepleegd door de klant. Verder lijkt het in dit geval de beveiliging van de bank niet op orde. Lijkt alsof de login gegevens genoeg waren; nogal vreemd omdat ik dacht dat 2e factor verplicht is voor banken.
Reageer
2Keys @bkor10 maart 2026 15:37
2fa kan je ook makkelijk nabootsen. Zolang de klant een code krijgt die je kan invullen op de phising site ben je daar al doorheen.
Reageer
Sando @2Keys10 maart 2026 15:49
Ik vind het op het eerste gezicht ook vreemd. Het is niet leuk, maar als ik per ongeluk €50 aan een dief geef, dan kan ik die bij de bank toch ook niet terugclaimen?

Misschien begrijp ik het artikel verkeerd. Maar als we alle naïeve mensen schadeloos moeten stellen, dan moeten wij dat met z'n allen gaan betalen. Een bankrekening is al duur genoeg.

Bovendien, geld geven en later terugvorderen is zo'n rampverhaal waar mensen in Nederland knettergek van worden, dus laten we het niet nog vaker gaan doen.
Reageer
Sanghelios @2Keys10 maart 2026 16:28
Er zijn nochtans genoeg gevallen waarbij mensen met een daglimiet van enkele duidzenden euro's plots tienduizenden kwijt zijn op één dag.
Zelfs op meerdere rekeningen.
Dat kan niet de schuld van het slachtoffer zijn.
Reageer
Quiller @2Keys10 maart 2026 17:43
Het waarom is heel eenvoudig : de banken doen vaak geen enkele moeite om het geld zelf te recupereren en schuiven alles af op 'nalatigheid'... Ik ben het er mee eens dat mensen ondertussen voldoende verwittigd zijn dat banken, cardstop etc NOOIT bellen naar jou ... Tevens is op 'links' klikken die iemand je stuurt niet erg slim MAAR de fraudeurs zijn ondertussen zo professioneel in mensen overtuigen dat je er van zou schrikken hoe makkelijk je in de val loopt...

En het allerbelangrijkste : de gemiddelde mens is veel minder in deze zaken onderlegd tov de mensen die hier lezen. (en een taak van overheid is ook om deze 'minder begaafde (als ik het zo mag zeggen) mensen tegen zichzelf te beschermen).

[Reactie gewijzigd door Quiller op 10 maart 2026 17:44]

Reageer
DigitalExorcist @2Keys10 maart 2026 20:35
Gevalletje victim-blaming. De schuld ligt bij de oplichter, niet bij degene die opgelicht wordt. En banken hebben een zorgplicht.
Reageer
Theone098 10 maart 2026 15:25
Het gaat hier steeds meer op de US lijken: Andere gronden zoals grove nalatigheid zijn geen reden voor banken om hiervan te mogen afwijken.

En je weet wie dit gaat betalen hè! Juist, wij dus. En dan zeggen dat die betaalrekening zo duur wordt. En ja, ik heb gelezen dat de betaling niet definitief is en dat deze kan worden teruggevorderd, maar dat kost geld.

Ik vind het weer ongekend kortzichtig van deze "advocaat-generaal".

[Reactie gewijzigd door Theone098 op 10 maart 2026 15:27]

Reageer
segil @Theone09810 maart 2026 15:57
ik vind het raar dat jij het normaal vind dat alle verantwoording bij de klant ligt en niet de bank, terwijl dit vroeger juist andersom is. De bank dwingt de klant online te bankieren en eist vervolgens allerlei kennis en controles. Zaken die de bank vroeger zelf uitvoerde, toen je nog langs ging bij een filiaal. Alleen zijn die bijna allemaal opgedoekt.
Reageer
Theone098 @segil10 maart 2026 16:03
Ik leg zeker niet alle verantwoordelijk bij de klant. Maar je mag wel geacht worden om alert te zijn en je gegevens goed te beschermen.

Dat is ook een visie, dat de bank de klant dwingt online te bankieren.

Mijn visie is dat de klant niet (meer) naar het bankkantoor wilde komen. Zelfs een extra validatie (2FA) vond men teveel (zoek maar op Tweakers naar het artikel dat de er een keuze kwam om extra validatie bij bank x uit te zetten). En als de bank niet als eerste Google Pay of Apple Pay ondersteunt (het liefst beiden) was de bank maar ouderwets (genoeg discussies hier op Tweakers).

Het ligt er dus maar aan hoe je het wil zien.

[Reactie gewijzigd door Theone098 op 10 maart 2026 16:11]

Reageer
SkyStreaker @Theone09811 maart 2026 05:25
Alertheid en goed kunnen beschermen is gelimiteerd aan de kunde van de gebruiker. En ik zie jongere en oudere leeftijden onkunde. Iemand achten is makkelijk gezegd.
Reageer
watercoolertje @Theone09810 maart 2026 15:31
Denk je niet dat de banken beter hun best gaan doen om dat soort rekeningen te sluiten ipv maanden de boel op te laten lichten? Beetje het gevoel wat je nu krijgt als je een oplichter op marktplaats bij de politie meldt en er niks gebeurd.

Daarnaast kan de bank ik sommige gevallen ook gewoon geld terughalen maar kiezen ze er misschien niet altijd voor. Dus dat geld is dan ook niet perse verloren.

[Reactie gewijzigd door watercoolertje op 10 maart 2026 15:32]

Reageer
Sissors @watercoolertje10 maart 2026 16:01
Dat lijkt mij dan ook absoluut niet de taak van banken. Hoe zouden ze dat moeten gaan doen? Druk op hosters uitoefenen dat websites offline worden gehaald? Willen we echt dat banken dat gaan doen?

En of de bank of de particulier nu aangifte doet van een fraudulente phishing website maakt ook niet zoveel. Plus dat het simpelweg heel moeilijk is om websites offline te krijgen (waarbij Nederland daarin voorop loopt, nee niet in websites offline krijgen, in websites niet offline krijgen, waardoor we stipt bovenaan staan bij hosting van kindermisbruik beelden).

Daarnaast één ding is natuurlijk 100% duidelijk, dit betalen we dan met zijn allen.

Edit_: Whoops verkeerd gelezen, dacht dat je websites wilde sluiten, maar je noemde rekeningen.

[Reactie gewijzigd door Sissors op 10 maart 2026 17:14]

Reageer
watercoolertje @Sissors10 maart 2026 17:06
Dat lijkt mij dan ook absoluut niet de taak van banken.
Daar denkt de overheid en de banken anders over,. de verantwoordelijkheid van fraudebestrijding ligt onder andere bij de banken!
https://www.veiligbankieren.nl/over-ons/partners/
Druk op hosters uitoefenen dat websites offline worden gehaald?
Waarom? Je zal toch ergens het geld heen moeten sturen (een rekeningnummer dus), dat kan prima aan mijn kant (dus in mijn ING app) gewaarschuwd of geblokkeerd worden voor bankrekning X die veelvuldig voor fraude is gebruikt, hebben ze niks met de hosters te maken of zelfs de andere bank an sich waar ook ter wereld.
Willen we echt dat banken dat gaan doen?
Nee die hoeven geen hosters onder druk te zetten, dat is iets wat jij verzonnen hebt, niet ik.
Daarnaast één ding is natuurlijk 100% duidelijk, dit betalen we dan met zijn allen.
Dat is binnen een maatschappij vrijwel altijd het geval, dus daar ben ik niet zo gevoelig voor. Wie dacht je dat het betaald als iemand door dat soort acties in de geldproblemen komt? De maatschappelijke hulp die daar mogelijk bij nodig is? Of kwijtschelding van ontstane schulden?

[Reactie gewijzigd door watercoolertje op 10 maart 2026 17:13]

Reageer
Sissors @watercoolertje10 maart 2026 17:13
My bad ik had gelezen om websites te sluiten, maar er staat rekeningen te sluiten. Overigens is dat natuurlijk ook verre van risicoloos, dat gaat met 100% zekerheid soms fout.
Reageer
Theone098 @watercoolertje10 maart 2026 16:22
Als jij nou via vraag & aanbod wat van mij koopt, dat ga ik met het hele voetbal elftal en de straat bij de bank aangeven dat jij mij hebt opgelicht. En dan wordt jouw rekening door de bank gesloten. Is dat wat je zegt?

Dat is toch een taak van de politie, niet de banken.

[Reactie gewijzigd door Theone098 op 10 maart 2026 17:39]

Reageer
watercoolertje @Theone09810 maart 2026 16:52
En dan wordt jou rekening door de bank gesloten.
Er is geen middenweg mogelijk? Bijv bepaalde gelden niet weg kunnen laten vloeien of uberhaubt onderzoek doen? En als de conclusie is dat het een oplichter is dan de rekening afsluiten.

[Reactie gewijzigd door watercoolertje op 10 maart 2026 16:53]

Reageer
bkor @Theone09810 maart 2026 15:28
Het gaat hier steeds meer op de US lijken: Andere gronden zoals grove nalatigheid zijn geen reden voor banken om hiervan te mogen afwijken.
Ik raad je aan om het advies te lezen. In eerste instantie terugbetalen. Maar grove nalatigheid kan vervolgens wel een reden zijn om op een later moment de klant aansprakelijk te stellen.
Reageer
Theone098 @bkor10 maart 2026 15:31
Het terugvorderen kost ook geld. En er is geen sprake van aansprakelijkheid in het artikel.
Reageer
bkor @Theone09810 maart 2026 15:37
Het terugvorderen kost ook geld. En er is geen sprake van aansprakelijkheid in het artikel.
Ik verwees naar het advies. Daar staat echt duidelijk:
it may require the customer to bear the corresponding losses.
Je bent erg kort door de bocht hierin trouwens. De bank heeft zo te zien niet genoeg maatregelen getroffen om zulk soort phishing te voorkomen. Die besparing zorgt voor problemen bij klanten. Je beredeneert wel erg richting winstmaximalisatie voor een bedrijf, kosten voor de maatschappij.
Reageer
Theone098 @bkor10 maart 2026 15:58
[...]

Ik verwees naar het advies. Daar staat echt duidelijk:


[...]

De bank heeft zo te zien niet genoeg maatregelen getroffen om zulk soort phishing te voorkomen. Die besparing zorgt voor problemen bij klanten. Je beredeneert wel erg richting winstmaximalisatie voor een bedrijf, kosten voor de maatschappij.
De bank kan niet alle phishing voorkomen! Ing is niet hetzelfde als lng.

Ik vind jouw dan weer erg coulant richting de niet oplettende en attente medemens.
Reageer
R4gnax
@Theone09810 maart 2026 19:43
De bank kan niet alle phishing voorkomen!
100% kan nooit. Maar 99.99999..% ? Oh jawel hoor, dat kunnen ze wel!
Kwestie van phishing-resistente 2FA implementaties gebruiken en 2FA bevestiging op elke transactie zetten.

Een afgeleidde van FIDO U2F met een customized authenticator die met een pre-enrolled key werkt - te weten: het sleutelmateriaal gevormd uit de chip op de bankpas, en de juiste pincode.

Zo'n apparaatje kan via Bluetooth of USB verbinden met elk FIDO/WebAuthN compatible OS. Dat kan Android, iOS, Windows 10/11, MacOS of zowat elke moderne mainline Linux distro zijn. En vervolgens kunnen alle browsers hier mee om gaan.

De protocollen die FIDO U2F gebruikt behoeven niet dat je codes met de hand overtikt. Ze leunen op asymmetrische cryptografische verificatie die volautomatisch gaat. Dit speelt slim samen met webbrowsers en certificaat-cryptografie waardoor een authenticator geen sleutelmateriaal aan browsers gaat geven wanneer het domein en het certificaat daarvoor niet in orde zijn. E.e.a. betekent dat nep URLs simpelweg niet meer werken. Punt.

Had je liever geen los apparaatje - maar gebruik je graag je telefoon? Dan zou je je bankpas kunnen registreren met je smartphone zoals je nu ook al kunt om hetzelfde benodigde cryptografische materiaal in de secure enclave coprocessor van je Android of iOS toestel. Beide OSes zijn icm met die coprocessor namelijk zelf ook al FIDO compatible authenticators...

[Reactie gewijzigd door R4gnax op 11 maart 2026 19:05]

Reageer
Theone098 @R4gnax11 maart 2026 10:19
Begrijp ik, als je alleen vanuit een technisch standpunt redeneert. En dat doe je. Je vergeet echter 1 ding in je hele betoog: de (eind)gebruiker. 2FA op ELKE transactie.
Reageer
R4gnax
@Theone09811 maart 2026 19:08
2FA op ELKE transactie
Ik redeneer inderdaad vanuit technisch standpunt, en derhalve weet ik dat in de technische specificaties de mogelijkheid opgenomen is om laagdrempelig bij herhaling automatisch 2FA goedkeuring te geven zonder dat er opnieuw handmatig geattesteerd hoeft te worden. Hoeft enkel de sessie nog voor open te staan en levend gehouden te zijn.

Dus als je meerdere transacties achter elkaar moet doen, moet je handmatig attesteren op de authenticator bij de eerste transactie - en de herhaaltransacties gaan automatisch.

FIDO U2F protocollen voorzien hierbij ook in de mogelijkheid om bepaalde hoog-gevoelige transacties wederom weer wel geforceerd handmatig te laten attesteren. Wat bijv. toegepast kan worden bij het overmaken van oneigenlijk grote bedragen; bij meer dan N transacties per minuut; etc.


(Als je de materie niet kent, kan ik me indenken dat je tot voorbarige conclusies zoals de jouwe komt - ja.)

[Reactie gewijzigd door R4gnax op 11 maart 2026 19:12]

Reageer
Theone098 @R4gnax11 maart 2026 19:22
(Als je de materie niet kent, kan ik me indenken dat je tot voorbarige conclusies zoals de jouwe komt - ja.)

Ja, ja, token-based authenticatie, step-up authenticatie, Yubi key (bijvoorbeeld voor FIDO U2F).... Nee, ik weet er niets van. Dream on, sucker :-).

Oh, verwacht geen reactie meer van mij. Leef je uit! Ik zie dat je een echte techneut bent, zonder mensenkennis.

[Reactie gewijzigd door Theone098 op 11 maart 2026 19:25]

Reageer
R4gnax
@Theone09811 maart 2026 20:38
Het probleem van handmatig opnieuw 2FA moeten doen bij elke transactie speelt gewoon niet.
En ik zie geen weerlegging van dat argument in je meest recente reactie.
Alleen iemand die heel verbitterd terug reageert en net als voorheen op de man speelt. Chique.

[Reactie gewijzigd door R4gnax op 11 maart 2026 20:38]

Reageer
SPee @Theone09811 maart 2026 11:45
In NL hebben de banken al zo'n verzekeringspotje.
Het lijkt om veel geld te gaan, maar dat valt relatief wel mee. Het merendeel van de kosten zit in al die KYC en witwas controles bs die de banken van de overheid moeten doen voor alle transacties. (en in de boetes die ze krijgen als ze dat te weinig doen)
Reageer
ronaldvr 10 maart 2026 15:29
Tja ik zeg het vaker: de banken hebben enorm bezuinigd door kantoren te sluiten balie personeel te ontslaan en de klant het risico te laten lopen op die manier: Dat is niet waarom je je geld bij een bank stalde, dat was juist omdat je kon vertrouwen dat het veilig was.

Nu heeft iedereen een bankrekening kunnen we niet meer zonder en nu zijn ze ook nog geld gaan vragen voor het hebben van een rekening. Dis is natuurlijk 'enshitification' ten top en gewoon op zich al laakbaar als de klant die niet opgeleid is als veiligheidsdeskundige daar verantwoordelijk voor te maken.

Dus volkomen logisch wat mij betreft dit advies
Reageer
Minoesh @ronaldvr10 maart 2026 15:44
Daar heb je wel een punt ja, met het sluiten van de kantoren overal. De handelingen en daarmee ook het risico is steeds meer naar de klant zelf verplaatst en daar heeft die geen keus in.
Reageer
segil @ronaldvr10 maart 2026 15:59
100% mee eens. Banken hebben de verantwoording afgeschoven naar de klant, die maar alles op orde moet hebben.
Reageer
cricque 10 maart 2026 15:27
Het ding is ... Ik moet mij door hoepels en bogen bewegen om meer dan 2-3k overgeschreven te krijgen en die gasten plunderen een rekening leeg op een dag. Een sms bevestiging ofzo als je een groter bedrag wilt doorsturen, of 24u wachten voordat het overschreven word

Ik weet ook hoe een bank werkt (ooit nog bij een grote speler van online betalingen gewerkt aan de backend). Maar dus 24-48u wachten bij een overschrijving naar een nieuwe rekening bijvoorbeeld. Alleen de gekende bewaarde rekeningen mogen gebruikt worden. En dan nog eens een extra validatie zou al veel problemen verhelpen denk ik. Ja een overschrijving naar die nieuwe plaats waar je iets gekocht hebt met overschrijving als betaling is "moeilijker" dan en duurt wat langer, maar hoe vaak doe jij grote aankopen waarbij het rekeningnummer niet gekend is ? Ik denk dat dit per jaar 2-3x voorvalt hier ofzo


Maar een bank kan toch niet verantwoordelijk zijn dat iemand klikt op een link (of eender welke andere manier) of zijn codes aan iemand geeft.
Reageer
bkor @cricque10 maart 2026 15:40
Maar een bank kan toch niet verantwoordelijk zijn dat iemand klikt op een link (of eender welke andere manier) of zijn codes aan iemand geeft.
Waarom zou een bank niet verantwoordelijk zijn? Waar is de tweede factor? Waar zijn de maatregelen om een gebruiker zich te beschermen? Het is bijna een gegeven dat mensen niet goed opletten. Het lijkt me dan wel erg makkelijk om steeds te wijzen richting een gebruiker, dit terwijl een bank ook een zorgplicht heeft.
Reageer
Torched @bkor10 maart 2026 21:29
Je kan ook zelf een bank uitzoeken die je altijd via een tweede factor iets laat doen.
Maar dat moet je wel zelf zo instellen want de meeste klanten vragen om gemak en snel kunnen betalen.

Bijvoorbeeld bij de rabobank kun je instellen dat je altijd de rabo scanner met pas moet gebruiken voor betalingen online. En dan is het echt dat je zelf het eea hebt ingetypt op de app/ website.

En wat mij betreft stopt het daar. Als je namelijk verplicht dat banken al deze schade moeten vergoeden gaan de bankkosten voor iedereen omhoog. Want het geld dat dit kost komt uit de portemonnee van alle klanten.
Reageer
Wouterie 10 maart 2026 15:33
Wonderlijk... Stel nou dat je dit vertaalt naar de 'echte' wereld, dan kun je toch ook niet bij je bank aankloppen als iemand de contanten uit je portemonnee weet te praten? Of een babbeltruc zodat je sieraden zijn verdwenen in de zakken van een nep-agent... dan klop je toch ook niet aan bij je bank? Ik zie niet waarom in de digitale wereld de bank wel dit risico zou moeten nemen.
Reageer
ronaldvr @Wouterie10 maart 2026 16:50
Omdat je in je portemonnee nooit je hele banksaldo hebt?
Reageer
Wouterie @ronaldvr10 maart 2026 20:17
Dus als je al je geld in een oude sok onder je matras hebt liggen, dan is de bank opeens wel verantwoordelijk wanneer je het overhandigd aan een nep-agent?
Reageer
ronaldvr @Wouterie11 maart 2026 08:15
mmm. merkwaardige sprong. Deze drogredenen heet ook wel een " non sequitor " Het volgt er niet uit.

Waarom zou dit zo zijn dan ? In het ene geval heb je je geld bij de bank in bewaring gegeven, en betaalt er zelfs voor in het andere geval niet dus is de bank ook geen partij
Reageer
Wouterie @ronaldvr11 maart 2026 09:54
Je spreekt over 'je hele banksaldo' niet over verantwoordelijkheden of bewaring. Puur en alleen de hoeveelheid en dus pak ik het daar verder op.

Het gaat erom dat de eigenaar van het kapitaal uiteindelijk verantwoordelijk blijft voor het sleutelbeheer, om het maar zo te noemen. Als ik mijn pinpas en pincode aan mijn buurman geef en hem op pad stuurt om wat boodschappen te halen en hij maakt daar misbruik van, dan valt de bank ook niets te verwijten. En zo zijn er legio voorbeelden waarbij het echt het risico van de eigenaar is wanneer het misbruik wordt gemaakt.

Ik vind het raar dat wanneer er geen sprake is van dwang of dreiging er toch een risico bestaat voor de bank wanneer de eigenaar van het ondergebrachte kapitaal de toegangssleutels afgeeft. Er is geen sprake van inbraak, geen sprake van 'pistool tegen het hoofd'... puur misleiding van de persoon. Kan de bank verder ook niet zoveel aan doen. En in mijn optiek kun je pas een risico dragen, of verantwoordelijk gehouden, wanneer je ook in staat bent om iets te doen tegen die zaken.
Reageer
ronaldvr @Wouterie11 maart 2026 12:59
Ik begrijp waar je vandaan komt, namelijk van 'vandaag'. Maar het gehele punt van een bank was en is dat jouw geld daar veilig is. Daar werd zelfs in de 80iger jaren reklame mee gemaakt met een brandend huis en cash en de slogan 'niemand komt er (meer) aan'.

En die belofte daar draait het om: Het is dus inderdaad onveilig als het in je huis ligt en mensen kunnen het zich met geweld toe-eigenen. En een bank heeft expliciet die verantwoordelijkheid genomen en heeft dus een zorgplicht. En veel mensen zijn geen tweakers (en zelfs tech-savvy peesonen trappen in oplichterstrucjes trouwens ), dus die zijn nog steeds niet opgewassen tegen de steeds nieuwe manieren waarop men hen geld probeert te ontfutselen.

En er is ook nog een verschil tussen een portemonnee met 100 euro kwijtraken of 10.000 of zelfs 50.000 van je spaargeld
Reageer
ShadowBumble 10 maart 2026 15:38
Wat een bizar besluit (gezien vanaf de Nederlandse markt), ik weet niet hoe dat in het buitenland geregeld is aangezien dit om een Poolse bank gaat maar hier in Nederland zijn daar redelijk goede afspraken over en hebben de banken een coulance regeling als dit gebeurd. (Niet als je dit voor de 5de keer gebeurd maar dat is een ander verhaal)

Wat dit besluit zo bijzonder maakt is dat het vanuit beide perspectieven een heel raar en vreemd besluit is, de bank moet dan een soort van persoonlijk onderzoek gaan uitvoeren naar de persoon om aan te tonen of die wel of niet nalatig zou kunnen zijn, en voor de getroffen persoon is het afwachten tot het onderzoek afgerond is of dat voorschot niet terug betaald moet worden met rente. Wanneer realiseren de politici en de EU dat banken geen opsporingsbevoegdheid hebben, ik snap best dat er een poortwachters rol is maar dit heeft daar niks mee te maken.

Daarnaast heb je dan nog dat banken een enorme kosten post gaan krijgen (die indirect gewoon weer bij hun klanten word neergelegd).
Reageer
iAR 10 maart 2026 15:46
Bizar advies. De banken opzadelen met kosten omdat criminelen (die niet gepakt worden) klanten van banken te slim af zijn?

Betaalt de politie bij gestolen goederen ook een compensatie? Of Dr. Oetker als mijn cake mislukt is?
Reageer
watercoolertje @iAR10 maart 2026 15:57
Betaalt de politie bij gestolen goederen ook een compensatie?
Hoe helpt de politie criminelen zoals een bank criminelen voorziet van een rekening?
Of Dr. Oetker als mijn cake mislukt is?
Is de schade daar groot? Nee toch? Alleen daarom is dat waarschijnlijk dus al geen probleem.

Verder denk ik dat je een beetje voorbij gaat aan waar allemaal wel soort van garanties vanuit winkels en fabrikanten op producten zitten, dat zijn dus waarborgen die zorgen dat je dus je geld terug krijgt als iets niet deugelijk is. En als winkels/fabrikanten aan kunnen tonen (in de eerste 6 maanden, daarna ligt de bewijslast andersom) dat het je eigen schuld is dat iets niet lukt of werkt, dan hoeven ze je niet te helpen (en als je het artikel leest zou een bank in z'n scenario het geld dus weer van jou kunnen claimen).

[Reactie gewijzigd door watercoolertje op 10 maart 2026 16:00]

Reageer
Webarcher 10 maart 2026 16:24
Snap niet die banken niet kunnen achterhalen waar het geld is gebleven. Iedere Europese bank moet toch zijn klanten natrekken en verifiëren. Als er dan geld naar een frauduleuze rekening is overgeboekt dan moet de ontvanger toch te achterhalen zijn
Reageer
bigbuddha 10 maart 2026 16:25
Is er eigenlijk geen mogelijkheid om ook aan de ontvangende kant meer te valideren of verantwoordelijkheid te leggen? Bijvoorbeeld door de eigenaar van de rekening waar het geld terechtkomt te identificeren en, indien er sprake is van medewerking of nalatigheid, ook aansprakelijk of strafbaar te stellen?
Het verbaast me dat de focus bij dit soort fraude eigenlijk steeds bij het slachtoffer ligt.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq