Nadat een koopovereenkomst tot stand gekomen was, stuurde de verkoper per e-mail een factuur naar de koper. Kort daarop ontving de koper van hetzelfde e-mailadres (maar dit keer door een hacker verzonden), een tweede e-mail waarin werd aangegeven dat er een fout was gemaakt en dat een gecorrigeerde factuur op korte termijn zou volgen. Dit gebeurde vervolgens. Op die ‘gecorrigeerde’ factuur werd een ander rekeningnummer vermeld, namelijk het rekeningnummer van de fraudeur.

De verkoper, die het aankoopbedrag dus nooit ontving, eiste alsnog betaling. De koper stelde zich echter op het standpunt niet twee keer te hoeven betalen.

De Hoge Raad grijpt bij de beoordeling terug op een uit 1992 stammende uitspraak, het arrest Kamerman/Aro Lease. In die zaak ging het om het vervalsen van handtekeningen.

Als een fraudeur doet alsof hij iets voor een ander verklaart, kan die ander zich jegens de geadresseerde van deze verklaring in beginsel erop beroepen dat de verklaring niet van hem afkomstig is, zo is het uitgangspunt. Dat geldt zelfs wanneer de geadresseerde heeft aangenomen en redelijkerwijze mocht aannemen dat de verklaring wel van die ander afkomstig was. Dit kan geheel of ten dele anders zijn, namelijk indien er omstandigheden zijn die rechtvaardigen dat aan de ander is toe te rekenen dat de geadresseerde de verklaring voor echt heeft gehouden en redelijkerwijze mocht houden. Daarbij kan onder meer een rol spelen in hoeverre partijen voldoende voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in staat is zich voor een van hen uit te geven.

Indien de geadresseerde (dus) niet redelijkerwijs hoeft aan te nemen dat sprake is van een zogenaamde scam, is het vervolgens voor de risicoverdeling bepalend of het ook aan de gehackte partij kan worden toegerekend dat zijn wederpartij de e-mail voor ‘authentiek’ en dus onvervalst heeft mogen houden.

In de hierboven genoemde zaak (ECLI:NL:HR:2021:783) trok de gehackte verkoper aan het kortste eind. De omstandigheden leidden in dat geval tot de conclusie dat de koper bevrijdend had betaald en dus niet twee keer hoefde te betalen. Daarbij speelde onder andere een rol dat de vervalste e-mails afkomstig waren van het e-mailadres dat ook bij eerdere bestellingen werd gebruikt om facturen te verzenden, het onderwerp van de e-mails steeds hetzelfde bleef, in het verleden geen vast rekeningnummer werd gehanteerd en het niet ongebruikelijk was dat (transport)documenten tussentijds door de verkoper werden aangepast en de opmaak van de facturen in het verleden ook niet steeds hetzelfde was.

Overigens benadrukte de Hoge Raad in deze uitspraak nog dat de rechter ook tot de conclusie kan en mag komen dat het gewekte vertrouwen slechts deels kan worden toegerekend aan een van de partijen, in welk geval het (financiële) risico dus ook slechts deels op die partij rust, en voor het andere deel op de andere partij.

Kort en goed: beiden moeten (dus) opletten en de enkele stelling ‘maar jij hebt mij deze factuur toch gezonden’ dekt de lading niet.