Voor 50 mille
opgelicht met
één telefoontje

20 februari 2015, 14:26

Directeur Marco de Bruijn komt zelf naar buiten met dit verhaal om anderen te waarschuwen. Maar ook omdat hij zeer ontevreden is over hoe zijn bank, de Rabobank in dit geval, met de zaak is omgegaan. Dit artikel verscheen al eerder in het WeesperNieuws.

Mailtje
Op 24 januari 2014 leest een medewerker van het watersportbedrijf aan de Nijverheidslaan een e-mail van, wat lijkt, de Rabobank. In die mail wordt gevraagd om de contactgegevens van het bedrijf bij te werken. Alles lijkt normaal, de gegevens kloppen, alleen het telefoonnummer ontbreekt. De medewerker vult op de pagina het nummer in en krijgt daarmee, zonder dat hij het weet, een virus geïnstalleerd. Marco de Bruijn vertrouwt het niet en belt de Rabobank. Die adviseert de mail te verwijderen en stelt niet de afzender te zijn. Enkele dagen later gaat het mis. Op 28 januari wordt het bedrijf in de middag gebeld door een mevrouw die zich voorstelt als een medewerker van de afdeling internetbeveiliging van de Rabobank. Marco de Bruijn is in gesprek en de belster wordt doorverbonden naar de eerdergenoemde medewerker: het begin van een lang gesprek van meer dan 30 minuten waarin wordt gesproken over een veiligheidsonderzoek. Terloops vraagt de 'bankmedewerkster' aan de medewerker om een aantal combinaties op de Random Reader (een beveiligingskastje om te internetbankieren) in te tikken. Er wordt niet om bankrekeningnummers of pincodes gevraagd.

Mercedes CLS
Als Marco de Bruijn uit het gesprek komt en ziet dat zijn medewerker met de Random Reader in zijn hand aan de telefoon is, ruikt hij meteen onraad. Hij grijpt in en vraagt aan de bankmedewerkster zich te identificeren per mail. Dat gebeurt niet. De Bruijn laat de verbinding kort daarna verbreken. Te laat, als blijkt dat twee bedragen van samen 53.500 euro van de bedrijfsrekening zijn afgeschreven. Meteen wordt actie ondernomen. De Bruijn belt de Rabobank om te vragen of de rekening onmiddellijk kan worden geblokkeerd. De bedragen zijn afgeschreven aan een autobedrijf met de omschrijving 'Mercedes CLS'. Een uur later belt de Rabobank terug: ze zijn te laat. Er is een auto gekocht van het geld en die is afgemeld voor de export naar Ghana. De Rabobank stelt de ondernemer voor om aangifte te doen. Een medewerker gaat naar het politiebureau in Weesp, maar wordt weggestuurd. Pas de volgende morgen om 11.00 uur kan er een aangifte worden aangenomen. Ook pas die ochtend gaat er een opsporingsbevel de deur uit voor de auto. Tevergeefs. Die wordt niet meer gevonden.

Wie is aansprakelijk?
Hier begint het getouwtrek. Wie is er aansprakelijk voor de schade? Natuurlijk is het niet handig om in te gaan op e-mails en telefoontjes van banken waarin om gegevens wordt gevraagd. Maar er wordt door de banken ingeprent om geen pincodes te geven en dat is hier ook niet gebeurd. Met het virus dat op de computer is geïnstalleerd konden de inloggegevens van afstand worden afgekeken en hadden de dieven alleen de codes van de Random Reader nodig om overboekingen te doen.

Ook heeft de Rabobank een vrij ruime coulanceregeling voor internetoplichting en waarschuwden zij een maand eerder nog voor phishers die sieraden en auto's kochten. De bank heeft echter niet meteen het autobedrijf laten weten dat er een vreemde betaling plaatsvond, nadat De Bruijn melding deed bij het crisisnummer van de bank. Om 14.25 uur wordt het eerste bedrag afgeschreven door de dieven. Om 14.54 uur trekt De Bruijn aan de bel. Pas om 15.30 uur licht de bank het autobedrijf in en vraagt om de auto achter te houden. Te laat: de dieven namen de auto tien minuten daarvoor al mee.

Advocaat
"De gedupeerde ondernemer mocht van de Rabobank geen contact opnemen met het garagebedrijf waar de criminelen de auto hadden gekocht. De fraudedienst van de Rabobank zou het zelf allemaal wel regelen en heeft dat later ook zo tegen de politie gezegd. Van regelen is niets gebleken, integendeel, de Rabobank lijkt het onderzoek te willen blokkeren en weigert zelfs om haar gedupeerde cliënt de telefoontaps van zijn eigen telefoongesprekken met de bank te verstrekken", zo stelt de advocaat van De Bruijn.

Zorgvuldig
De Rabobank wil voor dit artikel niet inhoudelijk op deze zaak ingaan. In brieven over de zaak aan De Bruijn laat de bank het volgende weten over de zaak. "U en de bank hebben afspraken gemaakt. Daarin staat dat de klant zorgvuldig met de codes moet omgaan. De I- en/of S-code (red.: de randomreadercodes) mogen alleen worden gebruikt voor internetbankieren en voor andere bankzaken die worden gedaan op onze website. De codes mag de klant aan niemand bekendmaken. Dus ook niet aan (vermeende) bankmedewerkers." Even verderop in de brief: "Ook mag het algemeen bekend verondersteld worden dat bankmedewerkers nooit naar pincodes en andere beveiligingscodes vragen en dat die nooit mogen worden afgestaan, aan niemand."

De Rabobank stelt aan de hand van bovenstaande regels dat zij niet aansprakelijk gesteld kan worden voor de schade. Voor De Bruyn Watersportservice is de kous daarmee niet af. Het bedrijf stapt naar de rechter.