Juridische vraag: Ik lees de laatste tijd veel berichten over sim-swapping waarbij criminelen het voor elkaar krijgen om een 06-nummer naar een andere simkaart over te laten zetten. Als ik het goed begrijp gebeurt dit door telefonisch contact met de telecomprovider waarbij de crimineel zich voordoet als de eigenaar van de simkaart. Na het omzetten kunnen ze de 2FA op basis van SMS heel makkelijk omzeilen en dus mogelijk toegang krijgen tot allerlei accounts. Stel dat ik dan schade lijd, kan ik die dan verhalen op de telecomprovider?

Antwoord: Het fenomeen sim-swapping zoals hier beschreven komt inderdaad met enige regelmaat voor. In april werd een man uit Vaals nog veroordeeld tot drie maanden cel voor medewerking aan sim-swapping. In de VS kreeg iemand 14 maanden cel voor het via sim-swapping kapen van het X-account van de beurswaakhond SEC. En T-Mobile betaalde in maart 33 miljoen omdat het bedrijf nalatig was in de beveiliging tegen deze vorm van criminaliteit.

De aansprakelijkheid voor de gevolgen van sim-swapping begint bij de specifieke regels voor banken. Die staan in art. 7:529 BW:

De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.

De 'betaler' is in dit geval dus de klant die een frauduleuze transactie overkwam dankzij sim-swapping. En let op: er staat dus dat deze alléén de gevolgen moet dragen als hij frauduleus, opzettelijk of met grove nalatigheid zijn beveiligingsplichten niet nakwam.

Bij sim-swapping kun je vrij weinig doen. De crimineel krijgt een vervangende sim (of eSIM) waarmee deze vanuit jouw nummer berichten kan zenden en ontvangen. Als de crimineel je wachtwoord te pakken heeft, kan deze dan dus de 2FA op basis van je 06-nummer aanroepen en dan transacties uitvoeren.

Ik zie dan ook niet direct hoe jou kan worden verweten dat je opzettelijk of grof nalatig hebt gehandeld. Het enige argument is dat je informatieberichten van je telecomprovider negeert dat er een nieuwe sim is uitgegeven, en meer algemeen dat je wachtwoord is gelekt. (Maar niet bij alle aanvallen is je wachtwoord nodig.) In één Kifid-uitspraak vond men het genoeg dat er in een SMS een algemene waarschuwing stond, hoewel die niet over sim swapping maar over 2FA codes ging (pdf).

De telecomprovider aansprakelijk stellen wanneer de bank niet thuisgeeft, is natuurlijk altijd mogelijk. Door het onrechtmatig uitgeven van die sim ben jij benadeeld. Alleen krijg je dan snel hetzelfde probleem: als jij niet had gereageerd op waarschuwingssignalen, is in ieder geval een deel van de schade je eigen schuld.

In artikel 524 staat: De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken, a.gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en b.stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.

Dus als je de voorwaarden opzettelijk schendt, zoals door je pincode op je pas te schrijven, dan ben jij aansprakelijk voor een onbevoegde pinopname. Maar je transactielimiet is geen voorwaarde.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.