image

Juridische vraag: Is een werknemer persoonlijk aansprakelijk wanneer er door ceo-fraude een geldbedrag is overgemaakt?

woensdag 8 februari 2017, 14:28 door Arnoud Engelfriet, 6 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Een relatief nieuw concept in de cybercrime is ceo-fraude. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de ceo, cfo, group executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

Antwoord: Ceo-fraude is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de ceo. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de ceo spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de ceo is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de ceo dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de ceo was, dan heeft hij terecht afgeweken van het verbod.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (6)
08-02-2017, 15:04 door Anoniem
Afgezien van de juridische inslag, is het beveiligingsaspect een goed voorbeeld van hoe "procedures" in ineffectief middel zijn; ze zijn al te gauw rigide en worden dan omzeild door alles en iedereen, zodat je automatisch van die "even niet" gaten krijgt.

Terwijl al in de 90er jaren in bijvoorbeeld populair wetenschapsblad kijk te lezen was hoe het wel moet: Even terugbellen.

Niet mailtje lezen en dan doen, of mailtje lezen en gebeld worden (door een handlanger) en dan doen, nee, altijd eerst zelf terugkoppelen via een bekend communicatiemiddel, bijvoorbeeld de mobiel van de baas. "Ik heb hier een spoedbetaalopdracht in uw naam naar een chinese tent, zeg ja en ik maak het over."

Merk op dat deze constructie heel weinig technisch is, en denk vooral even door over de implicaties.
08-02-2017, 19:55 door Anoniem
Ik denk dat de nadruk op baas-ondergeschikte relatie te sterk is. Er zijn maar een paar mensen in een bedrijf die geld kunnen overmaken: de CEO en CFO. In het VK, waar directieleden openbaar geregistreerd worden, wordt dus naar de CFO of een ander directielid een mail gestuurd die zogenaamd van de CEO komt.

Het gaat vaak over CHAPS of "same day UK payment". Het bedrag is GBP 20k.
08-02-2017, 20:55 door Anoniem
Zelfde geldt voor de CEO die zelf óf gechanteerd wordt, óf samenwerkt met criminelen. Ik vraag me af hoe goed zo'n fraude is te doorzien? En kan die CEO aansprakelijk worden gesteld?
09-02-2017, 10:27 door Anoniem
Door Anoniem: Ik denk dat de nadruk op baas-ondergeschikte relatie te sterk is.

Een waarheid als een koe. In meer situaties dan je zou denken.
10-02-2017, 09:28 door Anoniem
Veel succes met het proberen te verhullen van je diefstal door net te doen of je een nep-opdracht van je baas hebt gekregen... ;-)
13-02-2017, 10:13 door Anoniem
Door Anoniem: Ik denk dat de nadruk op baas-ondergeschikte relatie te sterk is. Er zijn maar een paar mensen in een bedrijf die geld kunnen overmaken: de CEO en CFO. In het VK, waar directieleden openbaar geregistreerd worden, wordt dus naar de CFO of een ander directielid een mail gestuurd die zogenaamd van de CEO komt.

Het gaat vaak over CHAPS of "same day UK payment". Het bedrag is GBP 20k.


Ik ben werkzaam bij een heel groot bedrijf en ik weet zeker dat het merendeel van wat wij uitgeven niet door de CFO en / of CEO wordt overgemaakt. Dit gebeurd lokaal door de lokale fin. afdeling.

En kleinere bedrijven hebben geen CFO. Ook hier zal de "administratie" de betaling verrichten. Denk niet dat deze fraude vorm alleen maar bij grotere bedrijven voorkomt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.