Creditcardmaatschappij ICS hoeft twee mensen die slachtoffer werden van een phishingaanval en daarbij duizenden euro's verloren niet te vergoeden, zo oordeelt het financiële klachteninstituut Kifid. Beide slachtoffers ontvingen een sms-bericht dat zogenaamd van DHL afkomstig was en stelde dat er een pakket klaar lag. De ontvanger moest eerst 2,99 euro aan "douanekosten" betalen, wat via de meegestuurde link kon.

De link wees in werkelijkheid naar een phishingsite, waar de slachtoffers hun creditcardgegevens invulden. Hierna werd de creditcard van de slachtoffers toegevoegd aan een Apple Pay Wallet op een andere telefoon. Vervolgens werd er door de oplichters via de gekoppelde creditcards voor duizenden euro's aan transacties verricht. Het ene slachtoffer verloor meer dan 4.000 euro, de ander werd voor bijna 2700 euro bestolen.

De slachtoffers verzochten ICS om de schade te vergoeden, maar de creditcardmaatschappij weigerde dit omdat de slachtoffers grof nalatig zouden hebben gehandeld. Zo zouden ze de verificatiecode voor het koppelen van de creditcard aan Apple Pay met de oplichters hebben gedeeld en niet hebben gereageerd op e-mails dat deze koppeling had plaatsgevonden.

Daarop stapten de slachtoffers naar het financiële klachteninstituut Kifid. Dat stelt dat ICS moet bewijzen dat de slachtoffers grof nalatig hebben gehandeld, maar er op de slachtoffers een "verzwaarde motiveringsplicht" rust. De slachtoffers moesten dan ook verklaren hoe de aanvallers de creditcardgegevens in handen hebben gekregen en de verificatiecode voor het koppelen van de creditcard aan Apple Pay. Beide slachtoffers kunnen dat niet.

"Nu zij dit niet heeft gedaan, moet het ervoor worden gehouden dat de consument met grove nalatigheid haar verplichtingen tegenover ICS, om de verificatiecode veilig te houden, niet is nagekomen", aldus het Kifid in één van de uitspraken. Het klachteninstituut stelt in beide gevallen dat de klacht ongegrond is en wijst de vordering van beide slachtoffers af (pdf1, pdf2).