Nadat een koopovereenkomst tot stand
gekomen was, stuurde de verkoper per e-mail een factuur naar de koper. Kort
daarop ontving de koper van hetzelfde e-mailadres (maar dit keer door een
hacker verzonden), een tweede e-mail waarin werd aangegeven dat er een fout was
gemaakt en dat een gecorrigeerde factuur op korte termijn zou volgen. Dit
gebeurde vervolgens. Op die ‘gecorrigeerde’ factuur werd een ander
rekeningnummer vermeld, namelijk het rekeningnummer van de fraudeur.
De verkoper, die het aankoopbedrag dus
nooit ontving, eiste alsnog betaling. De koper stelde zich echter op het
standpunt niet twee keer te hoeven betalen.
De Hoge Raad grijpt bij de beoordeling
terug op een uit 1992 stammende uitspraak, het arrest Kamerman/Aro Lease. In
die zaak ging het om het vervalsen van handtekeningen.
Als een fraudeur doet alsof hij iets
voor een ander verklaart, kan die ander zich jegens de geadresseerde van deze
verklaring in beginsel erop beroepen dat de verklaring niet van hem afkomstig
is, zo is het uitgangspunt. Dat geldt zelfs wanneer de geadresseerde heeft
aangenomen en redelijkerwijze mocht aannemen dat de verklaring wel van die
ander afkomstig was. Dit kan geheel of ten dele anders zijn, namelijk indien er
omstandigheden zijn die rechtvaardigen dat aan de ander is toe te rekenen dat
de geadresseerde de verklaring voor echt heeft gehouden en redelijkerwijze
mocht houden. Daarbij kan onder meer een rol spelen in hoeverre partijen
voldoende voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in
staat is zich voor een van hen uit te geven.
Indien de geadresseerde (dus) niet
redelijkerwijs hoeft aan te nemen dat sprake is van een zogenaamde scam, is het
vervolgens voor de risicoverdeling bepalend of het ook aan de gehackte partij
kan worden toegerekend dat zijn wederpartij de e-mail voor ‘authentiek’ en dus
onvervalst heeft mogen houden.
In de hierboven genoemde zaak
(ECLI:NL:HR:2021:783) trok de gehackte verkoper aan het kortste eind. De
omstandigheden leidden in dat geval tot de conclusie dat de koper bevrijdend
had betaald en dus niet twee keer hoefde te betalen. Daarbij speelde onder
andere een rol dat de vervalste e-mails afkomstig waren van het e-mailadres dat
ook bij eerdere bestellingen werd gebruikt om facturen te verzenden, het
onderwerp van de e-mails steeds hetzelfde bleef, in het verleden geen vast
rekeningnummer werd gehanteerd en het niet ongebruikelijk was dat
(transport)documenten tussentijds door de verkoper werden aangepast en de
opmaak van de facturen in het verleden ook niet steeds hetzelfde was.
Overigens benadrukte de Hoge Raad in
deze uitspraak nog dat de rechter ook tot de conclusie kan en mag komen dat het
gewekte vertrouwen slechts deels kan worden toegerekend aan een van de
partijen, in welk geval het (financiële) risico dus ook slechts deels op die
partij rust, en voor het andere deel op de andere partij.
Kort en goed: beiden moeten (dus)
opletten en de enkele stelling ‘maar jij hebt mij deze factuur toch gezonden’
dekt de lading niet.