Uitspraak
Vonnis van 6 mei 2020 (bij vervroeging)
Behorend bij A.R. nr. AUA201900029
GERECHT IN EERSTE AANLEG VAN ARUBA
VONNIS
in de zaak van:
[eiser],
wonende in Aruba,
eiser,
hierna ook te noemen: [eiser],
gemachtigde: de advocaat mr. R.A. Wix,
tegen:
de naamloze vennootschap
CARIBBEAN MERCANTILE BANK N.V.,
gevestigd in Aruba,
gedaagde,
hierna ook te noemen: CMB,
gemachtigden: de advocaten mrs. G.B. Wever en W.J. Noordhuizen.
1.DE PROCEDURE
1.1
Het verloop van de procedure blijkt uit:
- her verzoekschrift, met producties;
- de conclusie van antwoord, met producties;
- de conclusie van repliek;
- de conclusie van dupliek.
1.2
Vonnis is nader bepaald op heden.
2.DE VASTSTAANDE FEITEN
2.1
Als enerzijds gesteld en anderzijds erkend dan wel niet of onvoldoende bestreden alsmede op grond van overgelegde producties voor zover niet of onvoldoende bestreden staat onder meer het volgende vast tussen partijen.
2.2
De Amerikaanse [eiser] is ruim 19 jaar geleden naar Aruba geïmmigreerd en woont sindsdien in Aruba. Bij aankomst in Aruba heeft [eiser] een bankrekening geopend bij CMB met als rekeningnummer 25512804 die hij sindsdien in gebruik heeft, met vanaf augustus 2011 de mogelijkheid tot online-banking (hierna: de rekening). Van die rekening is tot 6 augustus 2018 nooit geld naar het buitenland overgemaakt; er zijn gedurende die periode alleen lokale (in Aruba) betalingen/overmakingen verricht.
2.3
Op 3 augustus 2018 is [eiser] naar Florida gegaan om medische redenen en ook voor familiebezoek. Op 10 augustus 2018 is [eiser] teruggekeerd in Aruba. Op 13 augustus 2018 heeft [eiser] online zijn rekening gecontroleerd. Hij constateerde toen dat er in totaal Afl. 45.900,-- in zeven verschillende transacties van zijn rekening naar buitenlandse rekeningen was overgemaakt zoals omschreven op pagina 2 van zijn verzoekschrift (hierna: de overmakingen).
2.4
Bij op 15 augustus 2018 door [eiser] naar de CMB verstuurde email deelt [eiser] het volgende mede aan de CMB:
“
-ik ben op 3 augustus 2018 naar de VS vertrokken en ik had Awg 45.525,66 op mijn bankrekening;
-ik ben op 3 augustus 2018 naar de VS vertrokken en ik had Awg 45.525,66 op mijn bankrekening;
-ik ben dit weekend teruggekomen en zag dat mijn rekening voor Awg. 45.900,-- was gehackt;
-ik heb jullie mijn geld toevertrouwd en het is duidelijk dat wat voor beveiliging jullie ook hebben, deze niet voldoende was om mijn geld te beveiligen;
-ik heb van deze rekening nooit een internationale overmaking (“transfer”) gedaan.”.
2.5
CMB heeft hierop de rekening geblokkeerd en tevergeefs getracht om bedoelde overmakingen te storneren. Op advies van de CMB heeft [eiser] aangifte gedaan bij de politie van bedoelde naar zijn mening frauduleuze/ongeautoriseerde overmakingen.
2.6
CMB heeft met betrekking tot de overmakingen intern onderzoek laten verrichten. Naar aanleiding van dat onderzoek heeft de CMB bij brief van 30 augustus 2018 [eiser] het volgende te kennen gegeven:
“
(…).
(…).
Based on our intern investigation the bank can in any case now inform you with certainty that or online banking system was not compromised. Your case is an isolated case, whereby we have been able to confirm that your private and personal electronic signature was used tot execute the 7 transactions (…). For the sake of clarity we confirm that an electronic signature of a client consists of 7 digits on your atm card, your password and your e-pass. The three altogether form the electronic signature. We have already indicated that these credentials (private client password and pass information) are not stored on the banking system platform or otherwise within the bank. The fact that you state that you have been able to confirm that your computer was not hacked does not change this conclusion.”.
2.7
Voor het succesvol online bankieren zijn drie stappen nodig. Allereerst moet de cliënt een gebruikersnaam (
Username) hebben. Die gebruikersnaam bestaat uit 7 cijfers die zich bevinden op de CMB ATM kaart van de cliënt. Deze gebruikersnaam is bekend bij CMB. Daarna moet de cliënt een wachtwoord (
password) hebben. Het wachtwoord wordt de eerste keer extern aangemaakt door de software van Entrust Inc. en wordt vervolgens bij CMB geprint in een gesloten enveloppe. Dit is dezelfde procedure als bij een gegenereerde pincode van een creditcard. Die worden door middel van een printer door het uitbrengen van druk op de binnenzijde van een inkthoudende briefomslag op een blaadje geprint dat zich reeds en steeds bevindt in een gesloten envelop. Dat blaadje is pas leesbaar als de cliënt de envelop opent. Dit systeem wordt veel gebruikt, bijvoorbeeld ook door creditcardmaatschappijen, voor het kenbaar maken van (het eerste) wachtwoord aan een cliënt; en ook alleen aan hem. Op geen enkel moment is of wordt het wachtwoord bij CMB bekend. Bij een eerste keer inloggen wordt de cliënt verplicht om het wachtwoord te wijzigen. Dat wachtwoord, volledig en privé verzonnen door de cliënt, moet een minimale complexiteit hebben en bestaan uit een serie (hoofd)letters en cijfers. Om op zijn rekening te kunnen inloggen moet de cliënt daarnaast beschikken over een kaartje met daarop een combinatie van cijfers en letters die op de webpagina moeten worden ingevoerd (de zogeheten e-Pass die ook wel bingokaart wordt genoemd). Dat kaartje wordt ook extern gemaakt door Entrust Inc. en aan de cliënt in een gesloten enveloppe overhandigd. De e-Pass wordt persoonlijk met een geldig identiteitsbewijs van de cliënt door de cliënt zelf bij de CMB opgehaald.
Username) hebben. Die gebruikersnaam bestaat uit 7 cijfers die zich bevinden op de CMB ATM kaart van de cliënt. Deze gebruikersnaam is bekend bij CMB. Daarna moet de cliënt een wachtwoord (
password) hebben. Het wachtwoord wordt de eerste keer extern aangemaakt door de software van Entrust Inc. en wordt vervolgens bij CMB geprint in een gesloten enveloppe. Dit is dezelfde procedure als bij een gegenereerde pincode van een creditcard. Die worden door middel van een printer door het uitbrengen van druk op de binnenzijde van een inkthoudende briefomslag op een blaadje geprint dat zich reeds en steeds bevindt in een gesloten envelop. Dat blaadje is pas leesbaar als de cliënt de envelop opent. Dit systeem wordt veel gebruikt, bijvoorbeeld ook door creditcardmaatschappijen, voor het kenbaar maken van (het eerste) wachtwoord aan een cliënt; en ook alleen aan hem. Op geen enkel moment is of wordt het wachtwoord bij CMB bekend. Bij een eerste keer inloggen wordt de cliënt verplicht om het wachtwoord te wijzigen. Dat wachtwoord, volledig en privé verzonnen door de cliënt, moet een minimale complexiteit hebben en bestaan uit een serie (hoofd)letters en cijfers. Om op zijn rekening te kunnen inloggen moet de cliënt daarnaast beschikken over een kaartje met daarop een combinatie van cijfers en letters die op de webpagina moeten worden ingevoerd (de zogeheten e-Pass die ook wel bingokaart wordt genoemd). Dat kaartje wordt ook extern gemaakt door Entrust Inc. en aan de cliënt in een gesloten enveloppe overhandigd. De e-Pass wordt persoonlijk met een geldig identiteitsbewijs van de cliënt door de cliënt zelf bij de CMB opgehaald.
2.8
Nadat succesvol is ingelogd moet voor bevestiging van elke online transactie opnieuw gebruik gemaakt worden van gegevens van de e-Pass, die moeten worden ingevoerd op de daarvoor gegenereerde webpagina.
2.9
Het geheel van identificatie- en bevestigingsgegevens zoals omschreven onder 2.7 en 2.8 vormt de elektronische handtekening. Systemen zoals deze zijn wereldwijd geaccepteerd en worden op veel plekken gebruikt. Het systeem van CMB accepteert vier onsuccesvolle inlogpogingen voordat het automatisch blokkeert. Om het systeem weer te activeren moest de cliënt in augustus 2018 nog contact opnemen met CMB.
2.1
Op 6 augustus 2018 is driemaal op Aruba ingelogd op de online-account (hierna ook: de rekening) van [eiser]. Dat gebeurde rond 16:00 uur. CMB noemt dat een sessie. Vervolgens is op 7 augustus 2018 tweemaal rond 10:30 op de rekening ingelogd vanuit Medellín. Op 13 augustus 2018 werd tweemaal rond 12:30 uur ingelogd via een IP-adres in Miami. Voor alle sessies en transacties was slechts één enkele inlogpoging nodig; er is niet eerst één of meer keer onsuccesvol geprobeerd in te loggen.
2.11
Met een zogeheten ‘unlocator’ (ofwel VPN-service of programma) kan op Aruba via een buitenlands IP-adres met gebruikmaking van de digitale handtekening van [eiser] worden ingelogd op en toegang verkregen tot de rekening. CMB kan niet nagaan of met behulp van zo’n programma vanaf Aruba is ingelogd op de rekening.
2.12
Met betrekking tot de tussen partijen gesloten dienstverleningsovereenkomst zijn de algemene bankvoorwaarden van de CMB (hierna: de bankvoorwaarden) alsmede haar algemene voorwaarden ter zake van online bankieren, de zogeheten “Terms and Conditions Online Banking” (hierna: de onlinevoorwaarden) van toepassing.
3.DE STANDPUNTEN VAN PARTIJEN
3.1 [
eiser] verzoekt dat het Gerecht bij vonnis uitvoerbaar bij voorraad CMB veroordeelt om binnen 2 dagen na de betekening van dit vonnis te betalen aan [eiser] Afl. 45.900,--, kosten rechtens.
3.2
CMB voert verweer en concludeert tot afwijzing van het door [eiser] verzochte en tot veroordeling van hem in de proceskosten, te vermeerderen met de nakosten en met wettelijke rente gerekend vanaf 14 dagen na de uitspraak van dit vonnis.
3.3
Voor zover van belang voor de uitspraak worden de stellingen van partijen hierna besproken.
4.DE BEOORDELING
4.1
Vast staat dat de overmakingen hebben plaatsgevonden en dat voor het uitvoeren daarvan al dan niet vanuit Aruba is ingelogd op de rekening. In dat verband heeft CMB niet of onvoldoende bestreden gesteld dat inloggen op de rekening alleen kan plaatsvinden met behulp van de elektronische handtekening van [eiser]. Die handtekening bestaat uit de hiervoor onder 2.7 en 2.8 drie componenten, waarvan er twee (het wachtwoord en de e-Pass/bingokaart vermelde letters en cijfers) anders dan bij in dit geval [eiser] niet bekend zijn bij CMB. [eiser] heeft te dezen weliswaar gesteld dat de CMB geen bewijs heeft overlegd dat er met betrekking tot de overmakingen gebruik is gemaakt van de elektronische handtekening van [eiser], maar daarmee betwist [eiser] niet dat daarvan sprake is. Onbetwiste stellingen als de onderhavige komen immers ook zonder overlegging van bewijs vast te staan. Niet in geschil is tussen partijen dat [eiser] de voor hem bekende componenten waarmee zijn elektronische handtekening kan worden gegeven voor een ieder geheim dient te houden en er voor moet zorgen dat derden niet kunnen beschikken over die gegevens.
4.2
In het licht van vorenstaande stelt [eiser] als grondslag voor zijn vordering dat de overmakingen niet ten laste van hem als houder van de rekening mogen komen, omdat hij - kort gezegd - (1) nimmer opdracht heeft gegeven aan CMB voor uitvoeren van de overmakingen, (2) nimmer zijn voor zijn elektronische handtekening benodigde gegevens kenbaar heeft gemaakt aan of heeft gedeeld met derden, en (3) die gegevens nooit onbewaakt heeft achtergelaten en/of nooit anderszins onzorgvuldig heeft gebruikt zodat derden die gegevens niet hebben kunnen bemachtigen. Door in het licht van die omstandigheden evenwel de overmakingen uit te voeren heeft de CMB zich volgens [eiser] schuldig gemaakt aan wanprestatie danwel onrechtmatige daad, en dient de CMB de schade van [eiser] als gevolg daarvan te vergoeden. De CMB heeft die stellingen van [eiser] gemotiveerd betwist waardoor die niet vaststaan. Dat brengt met zich dat [eiser], die zich op rechtsgevolgen daarvan beroept, de hiervoor onder (1), (2) en (3) vermelde stellingen - zelfs als de tussen partijen toepasselijke bankvoorwaarden en onlinevoorwaarden worden weggedacht - zal moeten bewijzen. Dit temeer omdat gesteld noch is gebleken dat partijen zijn overeengekomen dat de CMB schade zijdens [eiser] als gevolg van onbevoegd gebruik van zijn digitale handtekening dient te vergoeden tenzij CMB kan aantonen dat er aan de zijde van [eiser] sprake is van schending van de verplichting om zijn uit drie componenten bestaande digitale handtekening te allen tijde geheim te houden voor derden (van welke contractuele afspraak wel sprake was in de door [eiser] aangehaalde uitspraak van de Rechtbank Amsterdam gepubliceerd onder ECLI:NL:RBAMS:2011:BV7468).
4.3
De door CMB bestreden stelling van [eiser] dat CMB in het kader van haar zorgplicht gehouden was om op grond van het klantprofiel van [eiser] (tot de overmakingen bestaande uit alleen lokale Arubaanse transacties) de overmakingen niet uit te voeren mist in het licht van het door CMB te dezen gevoerde verweer nadere onderbouwing. CMB heeft immers gesteld dat het niet ongebruikelijk is dat een rekeninghouder als [eiser] op enig moment al dan niet vanuit het buitenland buitenslandse betalingen verricht en het bovendien voor CMB gezien haar duizenden klanten ondoenlijk en te kostbaar is om dergelijke profielen te maken en te bewaken. Daar komt bij dat is gesteld noch gebleken dat partijen zijn overeengekomen dat CMB het door [eiser] beoogde klantprofiel moest aanmaken en bewaken, en de op CMB rustende zorgplicht gaat naar het oordeel van het Gerecht niet zover dat CMB ook zonder daartoe gemaakte afspraak gehouden was om bedoeld profiel te maken en te bewaken.
4.4
De stelling van [eiser] dat de overmakingen hebben kunnen plaatsvinden als gevolg van een hack van het online banksysteem van CMB mist in het licht van het verweer van CMB op dit punt eveneens voldoende nadere onderbouwing. CMB heeft immers gesteld dat intern onderzoek heeft uitgewezen dat van een hack geen sprake was, en dat een hack niet voor de hand ligt omdat (i) zij dan door veel meer klanten dan alleen [eiser] zou zijn geconfronteerd met klachten en claims en omdat (ii) hackers in geval van inbraak in het systeem van CMB ziet zullen volstaan met het leeghalen van één enkele rekening voor een bedrag van Afl. 45.900,--. Met name in het licht van het hiervoor onder (i) en (ii) vermelde stellingen van CMB had het op de weg van [eiser] gelegen om zijn stelling op dit punt nader feitelijk te onderbouwen. Het nalaten daarvan komt voor zijn rekening en risico.
4.5
Bij vorenstaande wordt nog overwogen dat de beweerdelijke hiervoor onder (1), (2) en (3) vermelde negatieve feiten van [eiser] niet aan de onderhavige bewijsopdracht in de weg kunnen staan, en evenmin grond opleveren om tot een andere verdeling van de bewijslast te komen. Nu [eiser] dat heeft aangeboden, zal de zaak voor levering van bewijs door middel van het doen horen van getuigen worden verwezen naar de in het dictum vermelde terechtzitting, die in verband met de beperkingen als gevolg van de coronacrisis na het zomerreces zal plaatvinden.
4.6
Voor het geval [eiser] slaagt in zijn bewijsopdracht en vast komt te staan dat hij (1) nimmer opdracht heeft gegeven aan CMB voor het uitvoeren van de overmakingen, 2) nimmer zijn voor zijn elektronische handtekening benodigde gegevens kenbaar heeft gemaakt aan of heeft gedeeld met derden en (3) die gegevens nooit onbewaakt heeft achtergelaten en/of nooit anderszins onzorgvuldig heeft gebruikt zodat derden die gegevens niet hebben kunnen bemachtigen wordt alvast het volgende overwogen. Tegen die alsdan vaststaande achtergrond kan in het midden blijven of de bankvoorwaarden en/of de onlinevoorwaarden vernietigbaar zijn zoals door [eiser] gesteld, omdat het Gerecht alsdan van oordeel is dat de schade als gevolg van het onbevoegdelijk gebruik van de elektronische handtekening van [eiser] voor rekening en risico komt van CMB als aanbieder van het door haar gehanteerde systeem waarmee online bankieren bij/met CMB mogelijk wordt gemaakt niet alleen voor de daartoe bevoegde klant maar ook voor onbevoegden terwijl in dit (mogelijke) geval [eiser] niets valt te verwijten. Onder zulke omstandigheden is het naar maatstaven van redelijkheid en billijkheid (zoals - zo begrijpt het Gerecht - impliciet gesteld door [eiser]) onaanvaardbaar dat CMB zich beroept op welke tussen partijen van toepassing zijnde algemene voorwaarde dan ook.
4.7
In afwachting van bewijslevering en de daarna door partijen te nemen conclusies na bewijslevering zal iedere verdere beslissing worden aangehouden.
5.DE UITSPRAAK
Het Gerecht:
-stelt [eiser] in de gelegenheid om door middel van het doen horen van getuigen te bewijzen dat hij (1) nimmer opdracht heeft gegeven aan CMB voor uitvoeren van de overmakingen, (2) nimmer zijn voor zijn elektronische handtekening benodigde gegevens kenbaar heeft gemaakt aan of heeft gedeeld met derden en (3) die gegevens nooit onbewaakt heeft achtergelaten en/of nooit anderszins onzorgvuldig heeft gebruikt zodat derden die gegevens niet hebben kunnen bemachtigen;
-verwijst de zaak daartoe naar de terechtzitting van
donderdag 27 augustus 2020 om 14:30 uurte houden in zaal A van het in Aruba te J.G. Emanstraat 51 gelegen gerechtsgebouw, en bepaalt dat [eiser] gedurende die zitting maximaal twee getuigen kan doen horen;
donderdag 27 augustus 2020 om 14:30 uurte houden in zaal A van het in Aruba te J.G. Emanstraat 51 gelegen gerechtsgebouw, en bepaalt dat [eiser] gedurende die zitting maximaal twee getuigen kan doen horen;
-bepaalt dat [eiser] uiterlijk drie werkdagen voor voormelde terechtzitting de personalia van de door hem voor te brengen getuigen schriftelijk dient kenbaar te maken aan het Gerecht en aan CMB;
-houdt in afwachting van bewijslevering en de daarna door partijen te nemen conclusies na bewijslevering iedere verdere beslissing aan.
Dit vonnis is gewezen door mr. A.H.M. van de Leur, rechter, en is bij vervroeging uitgesproken ter openbare terechtzitting van woensdag 6 mei 2020 in tegenwoordigheid van de griffier.