image

Stel dat ik schade lijd door sim-swapping, kan ik die dan verhalen op de telecomprovider?

woensdag 2 juli 2025, 14:12 door Arnoud Engelfriet, 15 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik lees de laatste tijd veel berichten over sim-swapping waarbij criminelen het voor elkaar krijgen om een 06-nummer naar een andere simkaart over te laten zetten. Als ik het goed begrijp gebeurt dit door telefonisch contact met de telecomprovider waarbij de crimineel zich voordoet als de eigenaar van de simkaart. Na het omzetten kunnen ze de 2FA op basis van SMS heel makkelijk omzeilen en dus mogelijk toegang krijgen tot allerlei accounts. Stel dat ik dan schade lijd, kan ik die dan verhalen op de telecomprovider?

Antwoord: Het fenomeen sim-swapping zoals hier beschreven komt inderdaad met enige regelmaat voor. In april werd een man uit Vaals nog veroordeeld tot drie maanden cel voor medewerking aan sim-swapping. In de VS kreeg iemand 14 maanden cel voor het via sim-swapping kapen van het X-account van de beurswaakhond SEC. En T-Mobile betaalde in maart 33 miljoen omdat het bedrijf nalatig was in de beveiliging tegen deze vorm van criminaliteit.

De aansprakelijkheid voor de gevolgen van sim-swapping begint bij de specifieke regels voor banken. Die staan in art. 7:529 BW:

De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.

De 'betaler' is in dit geval dus de klant die een frauduleuze transactie overkwam dankzij sim-swapping. En let op: er staat dus dat deze alléén de gevolgen moet dragen als hij frauduleus, opzettelijk of met grove nalatigheid zijn beveiligingsplichten niet nakwam.

Bij sim-swapping kun je vrij weinig doen. De crimineel krijgt een vervangende sim (of eSIM) waarmee deze vanuit jouw nummer berichten kan zenden en ontvangen. Als de crimineel je wachtwoord te pakken heeft, kan deze dan dus de 2FA op basis van je 06-nummer aanroepen en dan transacties uitvoeren.

Ik zie dan ook niet direct hoe jou kan worden verweten dat je opzettelijk of grof nalatig hebt gehandeld. Het enige argument is dat je informatieberichten van je telecomprovider negeert dat er een nieuwe sim is uitgegeven, en meer algemeen dat je wachtwoord is gelekt. (Maar niet bij alle aanvallen is je wachtwoord nodig.) In één Kifid-uitspraak vond men het genoeg dat er in een SMS een algemene waarschuwing stond, hoewel die niet over sim swapping maar over 2FA codes ging (pdf).

De telecomprovider aansprakelijk stellen wanneer de bank niet thuisgeeft, is natuurlijk altijd mogelijk. Door het onrechtmatig uitgeven van die sim ben jij benadeeld. Alleen krijg je dan snel hetzelfde probleem: als jij niet had gereageerd op waarschuwingssignalen, is in ieder geval een deel van de schade je eigen schuld.

In artikel 524 staat: De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken, a.gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en b.stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.

Dus als je de voorwaarden opzettelijk schendt, zoals door je pincode op je pas te schrijven, dan ben jij aansprakelijk voor een onbevoegde pinopname. Maar je transactielimiet is geen voorwaarde.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (15)
02-07-2025, 15:05 door Wim ten Brink
Ik heb een pincode op mijn betaalpas staan. 7491 om precies te zijn. Alleen is dat niet de juiste pincode. De bedoeling is om een eventuele dief te misleiden want als hij die pincode meerdere malen probeert (inclusief varianten zoals achterstevoren en een +1) dan slikt de automaat mijn pas in en de beelden kunnen gebruikt worden om de dief mee te identificeren. :)
Geen idee of het werkt, maar op zich een leuke truuk.
02-07-2025, 15:19 door Anoniem
Door Wim ten Brink: Ik heb een pincode op mijn betaalpas staan. 7491 om precies te zijn. Alleen is dat niet de juiste pincode. De bedoeling is om een eventuele dief te misleiden want als hij die pincode meerdere malen probeert (inclusief varianten zoals achterstevoren en een +1) dan slikt de automaat mijn pas in en de beelden kunnen gebruikt worden om de dief mee te identificeren. :)
Geen idee of het werkt, maar op zich een leuke truuk.
Het aanpassen of manipuleren van een bankkaart wordt over het algemeen niet toegestaan. Het veranderen van de PIN-code of het toevoegen van valse informatie kan worden beschouwd als fraude of opzettelijke manipulatie van bankproducten. Dit kan juridische gevolgen hebben, waaronder het verlies van de bankdienst of zelfs strafrechtelijke vervolging. (Bron: A.I.)
02-07-2025, 17:16 door Named
Door Anoniem: Het aanpassen of manipuleren van een bankkaart wordt over het algemeen niet toegestaan. Het veranderen van de PIN-code of het toevoegen van valse informatie kan worden beschouwd als fraude of opzettelijke manipulatie van bankproducten. Dit kan juridische gevolgen hebben, waaronder het verlies van de bankdienst of zelfs strafrechtelijke vervolging. (Bron: A.I.)
AIsof AI alles zo goed weet...
Ik denk dat je dit beter de bank zelf kan vragen, die zullen een juist antwoord geven.
Gisteren, 08:23 door Anoniem
Je zou eigenlijk bij de provider moeten kunnen aangeven dat je simkaart niet geswapt mag worden en dat een aanvraag daartoe per definitie fraude is.
Gisteren, 08:39 door Anoniem
Degene die de simkaart van het slachtoffer wil swappen met zijn eigen simkaart werd toch geregistreerd toen hij een simkaart aangevraagd heeft? Ik moest zelf indertijd mijn ID-kaart laten zien toen ik een simkaart met abonnement ging aanschaffen. Lijkt mij dat de fraudeur dan toch bekend moet zijn.
Gisteren, 09:36 door Anoniem
Ik mis in het stuk van Engelfriet dat al veel langer bekend is dat telecomproviders onveilig zijn. De overheid heeft ook maatregelen aangekondigd, maar komt daar iets van terecht?
Het is hoog tijd dat de telecom veel veiliger wordt, nu er zoveel van afhangt.
Gisteren, 11:52 door Arnoud Engelfriet
Door Anoniem: Degene die de simkaart van het slachtoffer wil swappen met zijn eigen simkaart werd toch geregistreerd toen hij een simkaart aangevraagd heeft? Ik moest zelf indertijd mijn ID-kaart laten zien toen ik een simkaart met abonnement ging aanschaffen. Lijkt mij dat de fraudeur dan toch bekend moet zijn.
Dit gebeurt door misdrijf, zoals door omkoping van een medewerker van de telecomprovider zodat die de nieuwe sim van jouw 06-nummer opstuurt. Er zal dan misschien een katvanger bekend zijn waar de sim naar toe gestuurd is, maar dat is het dan.
Gisteren, 12:23 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: Degene die de simkaart van het slachtoffer wil swappen met zijn eigen simkaart werd toch geregistreerd toen hij een simkaart aangevraagd heeft? Ik moest zelf indertijd mijn ID-kaart laten zien toen ik een simkaart met abonnement ging aanschaffen. Lijkt mij dat de fraudeur dan toch bekend moet zijn.
Dit gebeurt door misdrijf, zoals door omkoping van een medewerker van de telecomprovider zodat die de nieuwe sim van jouw 06-nummer opstuurt. Er zal dan misschien een katvanger bekend zijn waar de sim naar toe gestuurd is, maar dat is het dan.

Aha, werkt dat zo! Bedankt voor de uitleg.
Gisteren, 12:45 door Anoniem
Door Anoniem:
Door Wim ten Brink: Ik heb een pincode op mijn betaalpas staan. 7491 om precies te zijn. Alleen is dat niet de juiste pincode. De bedoeling is om een eventuele dief te misleiden want als hij die pincode meerdere malen probeert (inclusief varianten zoals achterstevoren en een +1) dan slikt de automaat mijn pas in en de beelden kunnen gebruikt worden om de dief mee te identificeren. :)
Geen idee of het werkt, maar op zich een leuke truuk.
Het aanpassen of manipuleren van een bankkaart wordt over het algemeen niet toegestaan. Het veranderen van de PIN-code of het toevoegen van valse informatie kan worden beschouwd als fraude of opzettelijke manipulatie van bankproducten. Dit kan juridische gevolgen hebben, waaronder het verlies van de bankdienst of zelfs strafrechtelijke vervolging. (Bron: A.I.)
Sorry maar je gebruikt A.I. over juridische zaken zonder dat je zelf onderlegd erin bent?

Zolang jij niks permanent beschadigd nog over bestaande informatie op de pas heen kalkt en het is uitwisbaar is er echt geen enkele kans dat ze ooit erom kraaien. Daarnaast bij het verlopen moet je de kaart doorknippen je levert het niet in.
Sterker nog in de oudere generatie passen was er specifiek een leeg veld voor je handtekening. Dus een speciaal veld om te tekenen. En je verzwakt tevens niet de pas beveiliging en je account maar verstevigd deze dus argumentatie dat het de beveiliging schaadt kan je ook al in de prullenbak gooien.

Er bestaat geen vorm van fraude door het noteren van een nummer wat *niet* gebruikt kan worden voor enig doel behalve blokkeren van de pas. Je hebt geen valse naam erop gezet dus waar is de fraude? Hoe kan het uberhaubt fraude zijn sinds jij de enige bent die de pas in je bezit hoort te hebben. Wat wil een dief doen je aanklagen voor blokkeren van jou pas waar de dief geen recht op had? Of de bank jou aanklagen voor het moeilijker maken van diefstal?


A.I kan niet voor je nadenken en dit zijn geen vragen die je aan A.I. kan stellen zonder dat je heel specifieke prompting meegeeft. Netjes dat je aangeeft dat het van A.I. komt maar mijn advies just don't use it voor dit en als je het al gebruikt dan redeneer de informatie terug op plausibiliteit.
Gisteren, 12:51 door Anoniem
Door Anoniem: Je zou eigenlijk bij de provider moeten kunnen aangeven dat je simkaart niet geswapt mag worden en dat een aanvraag daartoe per definitie fraude is.
Dus als je fysiek bij de winkel komt met een beschadigde SIM-kaart om wat voor reden dan ook, dan ben je zelf en fraudeur?
Gisteren, 13:44 door majortom
Door Anoniem:
Door Wim ten Brink: Ik heb een pincode op mijn betaalpas staan. 7491 om precies te zijn. Alleen is dat niet de juiste pincode. De bedoeling is om een eventuele dief te misleiden want als hij die pincode meerdere malen probeert (inclusief varianten zoals achterstevoren en een +1) dan slikt de automaat mijn pas in en de beelden kunnen gebruikt worden om de dief mee te identificeren. :)
Geen idee of het werkt, maar op zich een leuke truuk.
Het aanpassen of manipuleren van een bankkaart wordt over het algemeen niet toegestaan. Het veranderen van de PIN-code of het toevoegen van valse informatie kan worden beschouwd als fraude of opzettelijke manipulatie van bankproducten. Dit kan juridische gevolgen hebben, waaronder het verlies van de bankdienst of zelfs strafrechtelijke vervolging. (Bron: A.I.)
Bij de grote providers (bijv. Vodafone) moet je inderdaad fysiek naar een winkel en je ID laten zien. Anderen "identificeren" een klant nog steeds door te vragen naar bijv. adres en geboortedatum (net zoals ik overigens een keer een nieuwe bankpas heb gekregen). Zolang dit nog op die manier gebeurt is het dweilen met de kraan open en vind ik toch echt de provider wel verantwoordelijk hiervoor mocht het mis gaan.
Gisteren, 16:23 door Anoniem
Door Anoniem: Degene die de simkaart van het slachtoffer wil swappen met zijn eigen simkaart werd toch geregistreerd toen hij een simkaart aangevraagd heeft? Ik moest zelf indertijd mijn ID-kaart laten zien toen ik een simkaart met abonnement ging aanschaffen. Lijkt mij dat de fraudeur dan toch bekend moet zijn.

Belg ?
Ik koop cash een prepaid sim bij de supermarkt.

Ook goed als het nummer daarheen geporteerd wordt ?

Met abonnement is wat lastiger misschien, maar alleen een werkende bankrekening was wel genoeg. Crimineel zou een katvanger kunnen nemen.
Gisteren, 16:31 door Anoniem
Door Anoniem:
Door Anoniem: Je zou eigenlijk bij de provider moeten kunnen aangeven dat je simkaart niet geswapt mag worden en dat een aanvraag daartoe per definitie fraude is.
Dus als je fysiek bij de winkel komt met een beschadigde SIM-kaart om wat voor reden dan ook, dan ben je zelf en fraudeur?

Niet eens beschadigd. Hij heeft nog een creditcard formaat simkaart en bijbehorende koelkast met antenne ?
Stap naar sim, micro sim,nano sim en eSIM gemist ?

Voor eeuwig vast aan provider wiens netwerk een beetje klote geworden is , of slechte dekking heeft in de regio waar je bent gaan wonen.

Jezelf totaal vastbinden is niet altijd handig.
Gisteren, 18:31 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem: Degene die de simkaart van het slachtoffer wil swappen met zijn eigen simkaart werd toch geregistreerd toen hij een simkaart aangevraagd heeft? Ik moest zelf indertijd mijn ID-kaart laten zien toen ik een simkaart met abonnement ging aanschaffen. Lijkt mij dat de fraudeur dan toch bekend moet zijn.
Dit gebeurt door misdrijf, zoals door omkoping van een medewerker van de telecomprovider zodat die de nieuwe sim van jouw 06-nummer opstuurt. Er zal dan misschien een katvanger bekend zijn waar de sim naar toe gestuurd is, maar dat is het dan.

Of niet door misdrijf van telco medewerker, maar door social engineering.

Je nummer omzetten naar een (andere) sim is _normaal_ . Misschien hetzelfde abonnement maar een vervangende (e)SIM kaart.
Of gewoon - je gaat naar een andere provider maar neemt je nummer mee .

De bevestiging dat "jij" echt de aanvrager bent komt vaak neer op het sturen van een SMS (code) naar de "oude" telefoon/sim . Als iemand je die laat oplepelen, is je nummer weg.

Bevestigen/aanvragen kan typisch ook in de "mijn provider" app of website . Ook daar hangt de hele authorisatie dus op de authorisatie van die portal - en alle manieren waarop mensen hun credentials ervoor kunnen weggeven.
Gisteren, 19:03 door Anoniem
Door Named:
Door Anoniem: Het aanpassen of manipuleren van een bankkaart wordt over het algemeen niet toegestaan. Het veranderen van de PIN-code of het toevoegen van valse informatie kan worden beschouwd als fraude of opzettelijke manipulatie van bankproducten. Dit kan juridische gevolgen hebben, waaronder het verlies van de bankdienst of zelfs strafrechtelijke vervolging. (Bron: A.I.)
AIsof AI alles zo goed weet...
Ik denk dat je dit beter de bank zelf kan vragen, die zullen een juist antwoord geven.

Het is een vooruitgang op de gemiddelde "bijdrage" , want die zuigen meestel het antwoord met grote stelligheid uit de duim.

Dus ietwat positief dat iemand tenminste gepoogd heeft een antwoord _op te zoeken_ , dat lijkt een verloren gegane traditie te zijn.

Dit AI antwoord is - voor de situatie die de AI duidelijk voor ogen had - trouwens wel juist, denk ik.
AI antwoord duidelijk op een situatie over 'vervalsing' , ander rekeningnummer erop zetten of zo . Dat lijkt me inderdaad strafbaar als een variant van valsemunterij .

Alleen je eigen pin (of telefoonnummer ofzo) erop schrijven zie ik daar niet onder vallen .

Op papiergeld is het dacht ik formeel wel strafbaar .
(zoek zoek : Belgie : https://www.nbb.be/en/faq/what-penalty-intentionally-defacing-banknote-or-coin
Met wat mitsen en maren wanneer iets 'defacing' is .


Deja-vu: vroeger werd aan antwoord voorzien van "volgens Google" , en daarvoor "Volgens Internet" .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.