Is de betaling van een valse factuur na een hack bevrijdend?
Tegenwoordig worden de meeste facturen per e-mail verzonden. Dat maakt het voor een hacker gemakkelijk om een spookfactuur of een valse factuur te sturen als hij een e-mailaccount gehackt heeft. De ontvanger vertrouwt vervolgens op de echtheid van die factuur omdat hij het e-mailadres herkent. Bij een vervalste factuur is het dan de vraag of de betaling onder die omstandigheden bevrijdend was, of dat de crediteur alsnog om betaling kan vragen. Een spookfactuur is een factuur waarvoor nooit diensten of produkten geleverd zijn. Een valse factuur is een factuur waarin het betaaladres door de hacker is gewijzigd, voor wel geleverde diensten of produkten.
Bevrijdend betalen van een valse factuur: de Hoge Raad
Het staat voorop dat deze situatie alleen maar verliezers kent (behalve de hacker dan). Meestal is er namelijk geen opzet in het spel. Helaas is geen enkel computersysteem volledig veilig voor hackers. Dit is dan ook niet zozeer een kwestie van schuld. De vraag is in wiens contractuele risicosfeer de frauduleuze handeling van de hacker ligt.
De uitspraak van 28 mei 2021 (Yildirim/Hascor) ging over een door een hacker vervalste factuur van ruim 3 ton. Yildirim handelt – net als Hascor – in metalen. Hascor kocht regelmatig produkten van de holding van Yildirim, die dan een dochtermaatschappij aanwees, die de goederen zou factureren en leveren. In dit geval was Devante aangewezen om de bestelling te leveren. Hascor kreeg per e-mail twee vervalste facturen en betaalde één daarvan. De facturen leken van Devante te komen.
De Hoge Raad neemt als uitgangspunt, dat de schuldeiser (Yildirim) zich erop mag beroepen dat de factuur niet van hem afkomstig was, ook wanneer de schuldenaar (Hascor) heeft aangenomen en redelijkerwijs mocht aannemen dat dit wel het geval was. De schuldenaar heeft dan, met andere woorden, niet bevrijdend betaald. Op dat uitgangspunt maakte de Hoge Raad echter een uitzondering ten gunste van schuldenaar Hascor.
Volgens de Hoge Raad was het Gerechtshof Arnhem-Leeuwarden in zijn arrest van 27 augustus 2019 in de hoger beroepsprocedure tot het juiste oordeel gekomen dat sprake was van bijzondere omstandigheden. De valse facturen waren afkomstig van hetzelfde e-mailadres van Yildirim en deze hadden ook hetzelfde onderwerp. Het was ook de eerste keer dat Devante, een dochtermaatschappij van Yildirim, werd aangewezen als verkopende partij (schuldeiser). Onder die (bijzondere) omstandigheden was het aan schuldeiser Yildirim toe te rekenen dat schuldenaar Hascor de factuur voor echt hield.
Ter rechtvaardiging van deze uitzondering op de regel dat de schuldenaar niet bevrijdend heeft betaald bij voldoening van een valse factuur sluit de Hoge Raad aan bij (enkele) algemene uitgangspunten van het verbintenissenrecht, zoals:
1. bescherming tegen opgewekte schijn, tot uiting komend in art. 3:35 B.W., art. 3:36 B.W. en art. 6:147 B.W., en
2. bescherming van de schuldenaar tegen schuldeisersverzuim, zoals neergelegd in art. 6:62 lid 2 B.W.).
De Hoge Raad verwees in dat kader naar zijn eerdere uitspraak van 7 februari 1992 in de zaak Kamerman/Aro Lease, waarin een vervalste handtekening aan de orde was.
Wellicht klinkt het juridische uitgangspunt dat niet bevrijdend is betaald na voldoening van valse facturen wat cru voor de betalende partij. Zoals al eerder aangegeven heeft die namelijk vaak ook geen schuld. Het is echter belangrijk om in het achterhoofd te houden dat de Hoge Raad een keuze moest maken: ofwel de schuldeiser gaat het schip in, ofwel de schuldenaar verliest. In dit geval kiest de Hoge Raad (als uitgangspunt) in het voordeel van de schuldeiser. Op de schuldenaar rust namelijk de verplichting om bevrijdend te betalen. De schuldenaar moet er dus voor zorgen dat hij op het juiste rekeningnummer betaalt, desnoods moet hij dat ook kunnen bewijzen.
De rechter kan ook besluiten om het risico te delen als de feiten en omstandigheden van het geval daartoe aanleiding geven. Dat kan betekenen dat nog slechts de helft of een ander, in goede justitie vast te stellen, gedeelte van de factuur betaald hoeft te worden.
Wanneer het raadzaam is als debiteur het rekeningnummer te verifiëren
Alle omstandigheden van het geval zijn van belang voor de beantwoording van deze vraag. Van de schuldenaar wordt verwacht dat hij oplettend is. Hij mag dus niet al te gemakkelijk ervan uit gaan dat een factuur echt is. Zeker in deze tijd, waarin steeds meer e-mailfraude plaatsvindt. Soms lijkt de factuur echter zó echt dat de schuldenaar zich terecht vergist. Consistentie is in de jurisprudentie een heel belangrijke factor: wijkt de spookfactuur af van de andere facturen? Dan moet de schuldeiser extra voorzichtig zijn. Enkele voorbeelden:
– Hebben schuldeiser en schuldenaar een langdurige relatie? Als er voor het eerst een factuur wordt gestuurd, dan kan de spookfactuur niet met een eerdere factuur vergeleken worden (zie de zaak Yildirim/Hascor).
– Wordt normaal gesproken altijd hetzelfde bankrekeningnummer en/of e-mailadres gebruikt? Als op de vervalste factuur ineens een ander rekeningnummer staat, dan moet de schuldenaar dit verifiëren bij de schuldeiser (bijvoorbeeld middels een eenvoudig of kort telefoongesprek), zeker wanneer het over te boeken bedrag substantieel is. Dit was aan de orde in een zaak die heeft geleid tot een beslissing van het Gerechtshof Den Bosch van 24 oktober 2017 (vervalste huurfacturen).
Zie voor een vergelijkbaar geval – maar waarbij het ging om een frauduleuze situatie van een aangemaakt, en redelijkerwijs door de schuldenaar te vermoeden, schaduw e-mailadres – de uitspraak van 3 oktober 2017 van het Gerechtshof Arnhem-Leeuwarden (Mees van den Brink Haaksbergen/SAS (Shanghai) Industrial Trading).
– Om welke reden is het rekeningnummer aangepast? De fraudeur geeft vaak een reden waarom ineens op een andere bankrekening betaald moet worden. Is die reden geloofwaardig? Zie wederom de bovengenoemde beslissing van het Gerechtshof Arnhem-Leeuwarden.
– De algemene opmaak en taalgebruik op de factuur. Als de factuur of de begeleidende e-mail in gebrekkig Nederlands is geschreven, dan is dat een signaal. Zie de bovengenoemde beslissing van het Gerechtshof Den Bosch.
– Staat er een buitenlands rekeningnummer op de factuur? Met name als normaliter op een Nederlands bankrekening betaald wordt, is dat een signaal om oplettend te zijn (te verifiëren bij de schuldeiser).
De rol van de schuldeiser bij vervalste facturen
Als de schuldenaar de factuur voor echt mocht houden, rijst de vraag of dit komt door omstandigheden die toerekenbaar zijn aan de schuldeiser. Een omstandigheid is aan iemand toerekenbaar wanneer die wordt veroorzaakt door schuld of een andere oorzaak die voor zijn rekening komt. Er is sprake van schuld als de partij verwijtbaar heeft gehandeld, dat wil zeggen dat hij een bepaalde norm niet heeft nageleefd. De andere oorzaak omvat meestal een soort risico aansprakelijkheid. Bijvoorbeeld aansprakelijkheid voor (verwijtbaar) gedrag van een werknemer.
Men zou zeggen dat een hack altijd toerekenbaar is aan de persoon die gehackt is. Die gedachte blijkt in de praktijk te theoretisch. De schuldenaar moet namelijk eerst bewijzen dat sprake is van een hack. In deze specifieke casus zal hij moeten aantonen dat hij een e-mail heeft ontvangen vanuit het e-mailaccount van de schuldeiser. Dat is niet eenvoudig. De e-mail kan namelijk ook “gespoofd” zijn.
Het is ook niet makkelijk om verwijtbaarheid aan te tonen. Daarvan is pas sprake als de hack is ontstaan door een omstandigheid die in de (contractuele) risicosfeer van de schuldeiser ligt. Bijvoorbeeld het niet op orde hebben van de beveiliging. Een bijkomstigheid is dat de schuldenaar vaak niet over de nodige gegevens beschikt om dit te bewijzen. Hij heeft immers geen toegang tot het systeem van de schuldeiser.
De fraudeur is bij valse facturen volgens de Hoge Raad niet de ‘onbevoegde’ van art. 6:34 B.W.
De schuldenaar kan zich er ook niet op beroepen dat hij aan de fraudeur of hacker heeft betaald omdat hij op redelijke gronden mocht aannemen dat die tot de prestatie gerechtigd was of uit andere hoofde aan die ontvanger moest worden betaald (zie artikel 6:34 lid 1 B.W.). De Hoge Raad oordeelt in bovengenoemde zaak Yildirim/Hascor tevens dat artikel 6:34 BW niet van toepassing is op de voldoening van spookfacturen.
Dit oordeel lag voor de hand. Bij het versturen van spookfacturen gaat het nu eenmaal niet om de situatie dat de fraudeur (ontvanger) tot de prestatie gerechtigd was of uit andere hoofde aan hem moest worden betaald. Die situatie moet dan ook worden onderscheiden van de onderhavige, waarin de schuldenaar ten onrechte in de veronderstelling verkeerde dat de schuldeiser het desbetreffende (gewijzigde) bankrekeningnummer had aangewezen voor de betaling.
Het oordeel over de niet-toepasselijkheid van artikel 6:34 lid 1 BW gaf de Hoge Raad ten overvloede, omdat dit wetsartikel was aangevoerd door schuldenaar Hascor in een zogeheten ‘voorwaardelijk incidenteel cassatieberoep’. De Hoge Raad was niet verplicht om dit incidentele beroep inhoudelijk te behandelen. Dit was door Hascor immers ingesteld onder de voorwaarde dat de uitspraak van het gerechtshof in het voordeel van schuldeiser Yildirim zou worden vernietigd door de Hoge Raad (wat niet gebeurde).
Conclusie: wanneer is de betaling van een vervalste factuur bevrijdend?
Uit de rechtspraak van de Hoge Raad blijkt dat de schuldenaar alleen onder zijn verplichting kan uitkomen als
(a) de factuur voor echt mocht worden gehouden, en
(b) dat aan de schuldeiser toerekenbaar is.
De schuldeiser heeft evenwel de sterkste uitgangspositie. Voor zowel schuldeiser als schuldenaar is het advies: houd zelf de vinger aan de pols.
Mr. S.T.L.A. (Stephan) Mulders, advocaat bij Van Diepen Van der Kroef Advocaten te Amsterdam.
Is de betaling van een valse factuur na een hack bevrijdend?
Tegenwoordig worden de meeste facturen per e-mail verzonden. Dat maakt het voor een hacker gemakkelijk om een spookfactuur of een valse factuur te sturen als hij een e-mailaccount gehackt heeft. De ontvanger vertrouwt vervolgens op de echtheid van die factuur omdat hij het e-mailadres herkent. Bij een vervalste factuur is het dan de vraag of de betaling onder die omstandigheden bevrijdend was, of dat de crediteur alsnog om betaling kan vragen. Een spookfactuur is een factuur waarvoor nooit diensten of produkten geleverd zijn. Een valse factuur is een factuur waarin het betaaladres door de hacker is gewijzigd, voor wel geleverde diensten of produkten.
Bevrijdend betalen van een valse factuur: de Hoge Raad
Het staat voorop dat deze situatie alleen maar verliezers kent (behalve de hacker dan). Meestal is er namelijk geen opzet in het spel. Helaas is geen enkel computersysteem volledig veilig voor hackers. Dit is dan ook niet zozeer een kwestie van schuld. De vraag is in wiens contractuele risicosfeer de frauduleuze handeling van de hacker ligt.
De uitspraak van 28 mei 2021 (Yildirim/Hascor) ging over een door een hacker vervalste factuur van ruim 3 ton. Yildirim handelt – net als Hascor – in metalen. Hascor kocht regelmatig produkten van de holding van Yildirim, die dan een dochtermaatschappij aanwees, die de goederen zou factureren en leveren. In dit geval was Devante aangewezen om de bestelling te leveren. Hascor kreeg per e-mail twee vervalste facturen en betaalde één daarvan. De facturen leken van Devante te komen.
De Hoge Raad neemt als uitgangspunt, dat de schuldeiser (Yildirim) zich erop mag beroepen dat de factuur niet van hem afkomstig was, ook wanneer de schuldenaar (Hascor) heeft aangenomen en redelijkerwijs mocht aannemen dat dit wel het geval was. De schuldenaar heeft dan, met andere woorden, niet bevrijdend betaald. Op dat uitgangspunt maakte de Hoge Raad echter een uitzondering ten gunste van schuldenaar Hascor.
Volgens de Hoge Raad was het Gerechtshof Arnhem-Leeuwarden in zijn arrest van 27 augustus 2019 in de hoger beroepsprocedure tot het juiste oordeel gekomen dat sprake was van bijzondere omstandigheden. De valse facturen waren afkomstig van hetzelfde e-mailadres van Yildirim en deze hadden ook hetzelfde onderwerp. Het was ook de eerste keer dat Devante, een dochtermaatschappij van Yildirim, werd aangewezen als verkopende partij (schuldeiser). Onder die (bijzondere) omstandigheden was het aan schuldeiser Yildirim toe te rekenen dat schuldenaar Hascor de factuur voor echt hield.
Ter rechtvaardiging van deze uitzondering op de regel dat de schuldenaar niet bevrijdend heeft betaald bij voldoening van een valse factuur sluit de Hoge Raad aan bij (enkele) algemene uitgangspunten van het verbintenissenrecht, zoals:
1. bescherming tegen opgewekte schijn, tot uiting komend in art. 3:35 B.W., art. 3:36 B.W. en art. 6:147 B.W., en
2. bescherming van de schuldenaar tegen schuldeisersverzuim, zoals neergelegd in art. 6:62 lid 2 B.W.).
De Hoge Raad verwees in dat kader naar zijn eerdere uitspraak van 7 februari 1992 in de zaak Kamerman/Aro Lease, waarin een vervalste handtekening aan de orde was.
Wellicht klinkt het juridische uitgangspunt dat niet bevrijdend is betaald na voldoening van valse facturen wat cru voor de betalende partij. Zoals al eerder aangegeven heeft die namelijk vaak ook geen schuld. Het is echter belangrijk om in het achterhoofd te houden dat de Hoge Raad een keuze moest maken: ofwel de schuldeiser gaat het schip in, ofwel de schuldenaar verliest. In dit geval kiest de Hoge Raad (als uitgangspunt) in het voordeel van de schuldeiser. Op de schuldenaar rust namelijk de verplichting om bevrijdend te betalen. De schuldenaar moet er dus voor zorgen dat hij op het juiste rekeningnummer betaalt, desnoods moet hij dat ook kunnen bewijzen.
De rechter kan ook besluiten om het risico te delen als de feiten en omstandigheden van het geval daartoe aanleiding geven. Dat kan betekenen dat nog slechts de helft of een ander, in goede justitie vast te stellen, gedeelte van de factuur betaald hoeft te worden.
Wanneer het raadzaam is als debiteur het rekeningnummer te verifiëren
Alle omstandigheden van het geval zijn van belang voor de beantwoording van deze vraag. Van de schuldenaar wordt verwacht dat hij oplettend is. Hij mag dus niet al te gemakkelijk ervan uit gaan dat een factuur echt is. Zeker in deze tijd, waarin steeds meer e-mailfraude plaatsvindt. Soms lijkt de factuur echter zó echt dat de schuldenaar zich terecht vergist. Consistentie is in de jurisprudentie een heel belangrijke factor: wijkt de spookfactuur af van de andere facturen? Dan moet de schuldeiser extra voorzichtig zijn. Enkele voorbeelden:
– Hebben schuldeiser en schuldenaar een langdurige relatie? Als er voor het eerst een factuur wordt gestuurd, dan kan de spookfactuur niet met een eerdere factuur vergeleken worden (zie de zaak Yildirim/Hascor).
– Wordt normaal gesproken altijd hetzelfde bankrekeningnummer en/of e-mailadres gebruikt? Als op de vervalste factuur ineens een ander rekeningnummer staat, dan moet de schuldenaar dit verifiëren bij de schuldeiser (bijvoorbeeld middels een eenvoudig of kort telefoongesprek), zeker wanneer het over te boeken bedrag substantieel is. Dit was aan de orde in een zaak die heeft geleid tot een beslissing van het Gerechtshof Den Bosch van 24 oktober 2017 (vervalste huurfacturen).
Zie voor een vergelijkbaar geval – maar waarbij het ging om een frauduleuze situatie van een aangemaakt, en redelijkerwijs door de schuldenaar te vermoeden, schaduw e-mailadres – de uitspraak van 3 oktober 2017 van het Gerechtshof Arnhem-Leeuwarden (Mees van den Brink Haaksbergen/SAS (Shanghai) Industrial Trading).
– Om welke reden is het rekeningnummer aangepast? De fraudeur geeft vaak een reden waarom ineens op een andere bankrekening betaald moet worden. Is die reden geloofwaardig? Zie wederom de bovengenoemde beslissing van het Gerechtshof Arnhem-Leeuwarden.
– De algemene opmaak en taalgebruik op de factuur. Als de factuur of de begeleidende e-mail in gebrekkig Nederlands is geschreven, dan is dat een signaal. Zie de bovengenoemde beslissing van het Gerechtshof Den Bosch.
– Staat er een buitenlands rekeningnummer op de factuur? Met name als normaliter op een Nederlands bankrekening betaald wordt, is dat een signaal om oplettend te zijn (te verifiëren bij de schuldeiser).
De rol van de schuldeiser bij vervalste facturen
Als de schuldenaar de factuur voor echt mocht houden, rijst de vraag of dit komt door omstandigheden die toerekenbaar zijn aan de schuldeiser. Een omstandigheid is aan iemand toerekenbaar wanneer die wordt veroorzaakt door schuld of een andere oorzaak die voor zijn rekening komt. Er is sprake van schuld als de partij verwijtbaar heeft gehandeld, dat wil zeggen dat hij een bepaalde norm niet heeft nageleefd. De andere oorzaak omvat meestal een soort risico aansprakelijkheid. Bijvoorbeeld aansprakelijkheid voor (verwijtbaar) gedrag van een werknemer.
Men zou zeggen dat een hack altijd toerekenbaar is aan de persoon die gehackt is. Die gedachte blijkt in de praktijk te theoretisch. De schuldenaar moet namelijk eerst bewijzen dat sprake is van een hack. In deze specifieke casus zal hij moeten aantonen dat hij een e-mail heeft ontvangen vanuit het e-mailaccount van de schuldeiser. Dat is niet eenvoudig. De e-mail kan namelijk ook “gespoofd” zijn.
Het is ook niet makkelijk om verwijtbaarheid aan te tonen. Daarvan is pas sprake als de hack is ontstaan door een omstandigheid die in de (contractuele) risicosfeer van de schuldeiser ligt. Bijvoorbeeld het niet op orde hebben van de beveiliging. Een bijkomstigheid is dat de schuldenaar vaak niet over de nodige gegevens beschikt om dit te bewijzen. Hij heeft immers geen toegang tot het systeem van de schuldeiser.
De fraudeur is bij valse facturen volgens de Hoge Raad niet de ‘onbevoegde’ van art. 6:34 B.W.
De schuldenaar kan zich er ook niet op beroepen dat hij aan de fraudeur of hacker heeft betaald omdat hij op redelijke gronden mocht aannemen dat die tot de prestatie gerechtigd was of uit andere hoofde aan die ontvanger moest worden betaald (zie artikel 6:34 lid 1 B.W.). De Hoge Raad oordeelt in bovengenoemde zaak Yildirim/Hascor tevens dat artikel 6:34 BW niet van toepassing is op de voldoening van spookfacturen.
Dit oordeel lag voor de hand. Bij het versturen van spookfacturen gaat het nu eenmaal niet om de situatie dat de fraudeur (ontvanger) tot de prestatie gerechtigd was of uit andere hoofde aan hem moest worden betaald. Die situatie moet dan ook worden onderscheiden van de onderhavige, waarin de schuldenaar ten onrechte in de veronderstelling verkeerde dat de schuldeiser het desbetreffende (gewijzigde) bankrekeningnummer had aangewezen voor de betaling.
Het oordeel over de niet-toepasselijkheid van artikel 6:34 lid 1 BW gaf de Hoge Raad ten overvloede, omdat dit wetsartikel was aangevoerd door schuldenaar Hascor in een zogeheten ‘voorwaardelijk incidenteel cassatieberoep’. De Hoge Raad was niet verplicht om dit incidentele beroep inhoudelijk te behandelen. Dit was door Hascor immers ingesteld onder de voorwaarde dat de uitspraak van het gerechtshof in het voordeel van schuldeiser Yildirim zou worden vernietigd door de Hoge Raad (wat niet gebeurde).
Conclusie: wanneer is de betaling van een vervalste factuur bevrijdend?
Uit de rechtspraak van de Hoge Raad blijkt dat de schuldenaar alleen onder zijn verplichting kan uitkomen als
(a) de factuur voor echt mocht worden gehouden, en
(b) dat aan de schuldeiser toerekenbaar is.
De schuldeiser heeft evenwel de sterkste uitgangspositie. Voor zowel schuldeiser als schuldenaar is het advies: houd zelf de vinger aan de pols.
Mr. S.T.L.A. (Stephan) Mulders, advocaat bij Van Diepen Van der Kroef Advocaten te Amsterdam.