Een hacker kaapt de koopovereenkomst: welke contractspartij draagt het risico?

Tegenwoordig krijgen organisaties op dagelijkse basis te maken met louche partijen die proberen digitaal binnen te dringen. Vaak loopt dat goed af, maar niet altijd. Zo kan het gebeuren dat een hacker toegang verkrijgt tot zakelijke e-mailaccounts. De hacker kan zich dan bijvoorbeeld voordoen als ‘medewerker’ en in die hoedanigheid vervalste betaalinstructies naar afnemers versturen. Een overeenkomst kan op deze manier door een malafide derde partij worden ‘gekaapt’.

Los van de vraag hoe organisaties zich hiertegen kunnen beschermen, rijst de juridische vraag wie het financiële risico draagt wanneer de koper de vervalste factuur daadwerkelijk betaalt. Heeft de koper in dat geval bevrijdend betaald, of kan de gehackte verkoper alsnog betaling van de koopsom eisen? De Hoge Raad heeft zich op 28 mei 2021 uitgelaten over een dergelijke kwestie, waarover hierna meer.

Uitspraak van de Hoge Raad van 28 mei 2021

In deze zaak (HR ECLI:NL:GHARL:2019:11338) speelde kortgezegd het volgende: na het sluiten van een koopovereenkomst stuurt de verkoper per e-mail een factuur naar de koper. Enkele minuten later ontvangt de koper, vanaf hetzelfde e-mailadres (maar dit keer van een hacker), een tweede e-mail waarin wordt gemeld dat er een fout is gemaakt, en dat een gecorrigeerde factuur zal worden toegestuurd. Kort daarna volgt (eveneens van de hacker) een derde e-mail met daarin, inderdaad, een nieuwe factuur.

In deze ‘verbeterde’ factuur wordt een nieuw rekeningnummer vermeld, en de wederpartij betaalt enkele dagen later de koopsom op die rekening. De verkoper – die het geld dus nooit heeft ontvangen – eist alsnog betaling. De koper stelt zich echter op het standpunt dat zij bevrijdend heeft betaald.

De gehackte partij trekt aan het langste eind, tenzij…

Voor de beoordeling van dit geval grijpt de Hoge Raad terug op zijn eerdere rechtspraak, namelijk het nog uit 1992 stammende arrest Kamerman / Aro Lease. Destijds ging het over het vervalsen van handtekeningen. De Hoge Raad past dezelfde rechtsregel nu toe op de voorliggende (meer 21e-eeuwse) vorm van identiteitsfraude.

Die rechtsregel komt neer op het volgende: uitgangspunt is dat de geïmiteerde (in dit geval: de gehackte) partij zich in beginsel erop kan beroepen dat de vervalste verklaring niet van hem afkomstig is. Dat geldt óók wanneer de geadresseerde partij redelijkerwijs mocht aannemen dat de verklaring authentiek en dus wél van zijn wederpartij afkomstig was. Dit uitgangspunt moet echter worden losgelaten, wanneer aan de geïmiteerde (gehackte) partij zelf – geheel of ten dele – kan worden toegerekend dat zijn wederpartij de vervalste verklaring voor echt heeft gehouden en redelijkerwijs mocht houden.

Kortom: wanneer de geadresseerde niet redelijkerwijs hoeft te veronderstellen dat sprake is van een ‘scam’, is het vervolgens voor de risicoverdeling bepalend of het ook aan de gehackte partij kan worden toegerekend dat zijn wederpartij de e-mail voor ‘authentiek’ en dus onvervalst heeft mogen houden.

De Hoge Raad accepteert in dit arrest ook enkele concrete omstandigheden waarop men (zo nodig in samenhang bezien) die toerekening aan de gehackte partij zou kunnen baseren. Het gaat dan bijvoorbeeld om de volgende omstandigheden:

  • de vervalste e-mails waren afkomstig van het e-mailadres dat ook bij eerdere bestellingen werd gebruikt om facturen aan de wederpartij te verzenden;
  • het onderwerp van de e-mails (vervalst én onvervalst) bleef steeds hetzelfde;
  • in het verleden werd geen vast rekeningnummer gehanteerd: de aangewezen bank en het rekeningnummer verschilden per bestelling;
  • het was niet ongebruikelijk dat (transport)documenten tussentijds door de verkoper werden aangepast;
  • de opmaak van de facturen was in het verleden niet steeds hetzelfde.

Tot slot: de Hoge Raad benadrukt in dit arrest dat de rechter ook tot de conclusie kan en mag komen dat het gewekte vertrouwen slechts deels kan worden toegerekend aan de geïmiteerde partij, in welk geval het (financiële) risico dus ook slechts deels op haar rust, en voor het andere deel op de bedrogen wederpartij. Dat element is nieuw ten opzichte van het eerdergenoemde arrest Kamerman / Aro Lease. De Hoge Raad lijkt hiermee aan te sturen op een meer genuanceerde afweging, in plaats van een ‘alles of niets-aanpak’.

Deze vingerwijzing van de Hoge Raad is mijns inziens ook begrijpelijk en wenselijk. Immers, niet één, maar beide partijen worden hier slachtoffer van het malafide handelen van een derde, en van beide partijen mag in dat kader een zekere oplettendheid worden verwacht. Daarbij past naar mijn mening de mogelijkheid om het financiële risico (zo nodig) tussen de partijen te verdelen.

In de hierboven besproken zaak, trok de gehackte verkoper echter aan het kortste eind: de omstandigheden leidden in dit geval tot de conclusie dat de koper bevrijdend heeft betaald.