Fraudeverlies van ruim één miljoen euro blijft voor rekening van onderneming: tussenpersoon niet aansprakelijk

Rb. Amsterdam 20 augustus 2025, IT&Recht 5308; ECLI:NLRBAMS:2025:11465 (CF Holdings tegen Frontyrion en [gedaagde 2]). De Rechtbank Amsterdam heeft geoordeeld dat betalingsbemiddelaar Frontyrion niet aansprakelijk is voor de schade die CF Holdings heeft geleden als gevolg van factuurfraude via een gehackt e-mailaccount. Volgens de rechtbank trad Frontyrion uitsluitend op als tussenpersoon tussen CF Holdings en betaaldienstverlener Currencycloud en rustte op haar geen verplichting om betaalopdrachten inhoudelijk te controleren of frauduleuze transacties te detecteren. Ook de bestuurder van Frontyrion kan geen persoonlijk ernstig verwijt worden gemaakt. Alle vorderingen van CF Holdings worden afgewezen. CF Holdings, een dochtermaatschappij van een Indiase producent van verpakkings- en industriële folies, maakte sinds 2021 gebruik van de diensten van Frontyrion voor betalingen aan haar Duitse logistieke partner Soli-Trans. Frontyrion hield zich volgens het handelsregister bezig met het aanbieden van online platformen en aanverwante diensten en werkte daarbij samen met betaaldienstverlener Currencycloud, die het daadwerkelijke betaalplatform exploiteerde. In augustus en september 2023 werd een e-mailaccount van een medewerker van administratiekantoor Valuecent gehackt. Vanuit dat account werden aan CF Holdings meerdere valse betaalinstructies gestuurd. Eerst werd een Pools bankrekeningnummer doorgegeven dat zogenaamd aan Soli-Trans toebehoorde. Nadat twee betalingen naar dat rekeningnummer door de Poolse bank waren teruggestort, volgde een nieuw bericht met een Portugees bankrekeningnummer. Vervolgens voerde CF Holdings meerdere betalingen uit op basis van deels bestaande en deels verzonnen facturen. Uiteindelijk werd in totaal € 1.063.762,91 overgemaakt naar een rekening van een onbekende derde. De fraude kwam pas op 28 september 2023 aan het licht. Nadat de fraude was ontdekt, verzocht CF Holdings Frontyrion om de betalingen terug te halen en de ontvangende bank te laten overgaan tot bevriezing van de rekening. Frontyrion schakelde daarop Currencycloud in, die via het SWIFT-netwerk zogenoemde recall-verzoeken deed. Deze pogingen om de gelden terug te halen hadden echter geen succes. CF Holdings stelde daarop Frontyrion en een van haar bestuurders aansprakelijk. Primair werd schadevergoeding gevorderd op grond van onrechtmatige daad en subsidiair wegens wanprestatie. Volgens CF Holdings was Frontyrion feitelijk een betaaldienstverlener die haar werkzaamheden had uitbesteed aan Currencycloud. Frontyrion zou verschillende waarschuwingssignalen hebben gemist, onvoldoende onderzoek hebben verricht naar mislukte betalingen en zich na ontdekking van de fraude onvoldoende hebben ingespannen om de gelden terug te halen. Daarnaast vorderde CF Holdings vergoeding van de kosten van een forensisch onderzoek. De rechtbank stelt voorop dat voor de beoordeling bepalend is welke taken Frontyrion op grond van de tussen partijen gesloten overeenkomst had en welke rol zij daadwerkelijk vervulde. Daarbij gaat de rechtbank uit van de zogenoemde Frontyrion Service Agreement. Dat deze overeenkomst niet was ondertekend, doet daar volgens de rechtbank niet aan af, omdat CF Holdings niet heeft toegelicht welke andere afspraken partijen zouden hebben gemaakt. Uit die overeenkomst volgt volgens de rechtbank dat Frontyrion uitsluitend optrad als business introducer voor betaaldienstverleners. Cliënten moesten afzonderlijk een overeenkomst sluiten met de betaaldienstverlener zelf. Frontyrion verrichtte geen betaaldiensten in eigen naam, maar hield zich bezig met onboarding, eerstelijns klantenservice en ondersteuning van de dienstverlening door de betaaldienstverlener. Vaststaat dat Currencycloud de betaaldiensten uitvoerde en over de vereiste vergunning beschikte. De stelling van CF Holdings dat Frontyrion zelf als betaaldienstverlener moet worden aangemerkt, wordt daarom verworpen. Ook het beroep op verplichtingen uit de Wet op het financieel toezicht en de Wet ter voorkoming van witwassen en financieren van terrorisme slaagt niet. Volgens de rechtbank strekken deze toezichtsnormen niet tot bescherming van een individuele rekeninghouder tegen schade als gevolg van factuurfraude zoals hier aan de orde. Verder overweegt de rechtbank dat de dienstverlening van Frontyrion zich beperkte tot onboarding en communicatie tussen CF Holdings en Currencycloud.

Hoewel in de overeenkomst staat dat Frontyrion onder omstandigheden een betaalrekening kan beheren of betaalopdrachten kan versturen, is niet gebleken dat CF Holdings Frontyrion daarvoor opdracht heeft gegeven. Vaststaat juist dat de betalingen door de financieel directeur van CF Holdings zelf werden ingevoerd op het platform van Currencycloud. Frontyrion beheerde de betaalrekening niet en verstuurde ook geen betaalopdrachten namens CF Holdings. Het verwijt dat Frontyrion wijzigingen van bankrekeningnummers en een ongebruikelijk transactiepatroon had moeten opmerken, wordt eveneens verworpen. De rechtbank acht van belang dat Frontyrion in de praktijk nauwelijks betrokken was bij de uitvoering van betalingen. Zodra een cliënt een betaalopdracht invoerde, ontving Frontyrion daar in beginsel geen melding van. Alleen na goedkeuring van de betaling werd automatisch een bevestigingsmail verstuurd, die afkomstig was van Currencycloud. De rechtbank omschrijft Frontyrion daarom feitelijk als een geautomatiseerd doorgeefluik. Zij had geen gelegenheid om betalingen te controleren en was daartoe op grond van de overeenkomst ook niet verplicht. Dat in een presentatie voorafgaand aan de overeenkomst was gesproken over mogelijkheden als banking validation en SWIFT-tracking maakt dat niet anders. Ook de stelling dat Frontyrion nader onderzoek had moeten verrichten nadat de eerste betalingen waren mislukt, slaagt niet. Volgens de rechtbank waren vertragingen en storingen in het internationale betalingsverkeer niet zodanig uitzonderlijk dat Frontyrion direct fraude had moeten vermoeden. Bovendien heeft Frontyrion telkens gereageerd op vragen van CF Holdings, contact opgenomen met Currencycloud en de ontvangen informatie doorgestuurd. Daarbij speelde mee dat de fraudeur actief betrokken bleef via het gehackte e-mailaccount en zo de werkelijke toedracht verhulde. Dat in sommige e-mails gebruik werd gemaakt van zogenoemde typosquatted e-mailadressen acht de rechtbank te subtiel om Frontyrion daarvan een verwijt te maken, temeer omdat die afwijkingen ook bij CF Holdings zelf niet waren opgevallen. Ten aanzien van de terughaalpogingen overweegt de rechtbank dat Frontyrion de recall-verzoeken tijdig heeft doorgestuurd aan Currencycloud, die deze vervolgens via het SWIFT-netwerk heeft afgehandeld. Uit de overgelegde correspondentie volgt niet dat Frontyrion of Currencycloud pas na zeven dagen in actie zijn gekomen. Daarnaast bleef Frontyrion de communicatie tussen CF Holdings en Currencycloud faciliteren, onder meer over de door Currencycloud gevraagde aangiftenummers van de fraude. Volgens de rechtbank kon op grond van de overeenkomst niet méér van Frontyrion worden verlangd dan een snelle en adequate afhandeling van die communicatie. De rechtbank komt daarom tot de conclusie dat Frontyrion niet is tekortgeschoten in de nakoming van de overeenkomst en evenmin onrechtmatig heeft gehandeld jegens CF Holdings. Ook de vordering tegen [gedaagde 2] wordt afgewezen. CF Holdings heeft geen feiten gesteld waaruit volgt dat aan de bestuurder een persoonlijk ernstig verwijt kan worden gemaakt, hetgeen voor bestuurdersaansprakelijkheid wel is vereist. Het verzoek van [gedaagde 2] om CF Holdings te veroordelen tot betaling van de volledige proceskosten wordt afgewezen. Volgens de rechtbank is daarvoor slechts plaats in uitzonderlijke gevallen, zoals misbruik van procesrecht of evident ongegronde vorderingen. Van zulke omstandigheden is geen sprake. CF Holdings wordt wel veroordeeld in de reguliere proceskosten, begroot op € 18.717

4.7. CF Holdings verwijt Frontyrion allereerst dat zij de wijzigingen van het bankrekeningnummer van zogenaamd Soli-Trans (alert 1 en 4 in de dagvaarding) en het ongebruikelijke transactiepatroon (alert 6 in de dagvaarding) niet heeft opgemerkt en daarop geen actie heeft ondernomen. Tijdens de mondelinge behandeling hebben Frontyrion en [gedaagde 2] toegelicht dat de feitelijke rol van Frontyrion bij de uitvoering van betaalopdrachten zeer beperkt is. Wanneer een cliënt een betaalopdracht invoert op het platform van Currencycloud, ontvangt Frontyrion, op bepaalde gevallen na, daarvan geen bericht. Nadat de betaling is goedgekeurd, ontvangt zowel Frontyrion als de cliënt een automatische bevestigingsmail van Currencycloud. De bevestigingsmail aan de cliënt is ogenschijnlijk afkomstig van Frontyrion, maar wordt verstuurd vanuit (de server van) Currencycloud. De reden dat Frontyrion ook een bevestigingsmail ontvangt, is dat zij weet welke berichten door Currencycloud aan haar cliënten zijn verstuurd. Uit deze feitelijke gang van zaken, die CF Holdings als zodanig niet heeft weersproken, volgt dat Frontyrion in feite functioneerde als geautomatiseerd doorgeefluik voor Currencycloud. In de praktijk had Frontyrion geen gelegenheid om betaalopdrachten te verifiëren. Op grond van de Frontyrion Service Agreement was zij daar ook niet toe verplicht. De enkele omstandigheid dat in de powerpointpresentatie, die Frontyrion voorafgaand aan het sluiten van de overeenkomst met CF Holdings heeft gedeeld, de mogelijkheid van banking validation is genoemd, betekent niet dat CF Holdings redelijkerwijs mocht verwachten dat die service ook tussen Frontyrion en CF Holdings zou zijn overeengekomen, nog daargelaten of dat überhaupt mogelijk is bij internationale betalingen. Hetzelfde geldt overigens voor de mogelijkheid van SWIFT tracking. Frontyrion en [gedaagde 2] hebben in dat verband ook gemotiveerd betwist dat Frontyrion toegang heeft tot het SWIFT-netwerk van banken. Dit verwijt van CF Holdings stuit hierop af.

4.8. CF Holdings verwijt Frontyrion verder dat zij heeft nagelaten nader onderzoek te verrichten en extra controles uit te voeren naar aanleiding van de melding van 25 augustus 2023 dat de eerste twee frauduleuze betalingen nog niet op het Poolse bankrekeningnummer waren bijgeschreven (alert 3 van de dagvaarding), de weigering van de betalingen door de Poolse bank (alert 2 van de dagvaarding) en de melding van 14 september 2023 dat Soli-Trans de betalingen nog niet had ontvangen (alert 5 van de dagvaarding). Frontyrion en [gedaagde 2] hebben opgemerkt dat deze meldingen niet direct alarmerend waren, omdat vertragingen en storingen zich nu eenmaal voordoen in het internationale betalingsverkeer. Uit de door CF Holdings aangehaalde e-mailberichten van [naam 2] en [naam 3] blijkt ook niet dat er meer aan de hand zou kunnen zijn. Frontyrion en [gedaagde 2] hebben bovendien onweersproken aangevoerd dat Frontyrion in de genoemde gevallen heeft gereageerd op die berichten, waar nodig contact heeft opgenomen met Currencycloud, en de relevante informatie heeft doorgestuurd aan CF Holdings. In het licht van de verplichtingen van Frontyrion onder de Frontyrion Service Agreement kon ook niet meer van haar worden verwacht. Hierbij komt dat door actieve betrokkenheid van de fraudeur via het gehackte e-mailaccount van [naam 3] de ware toedracht van (het mislukken van) de betalingen is verhuld. De aanwezigheid van typosquatted e-mailadressen van Valuecent in de CC van de e-mailberichten die vanuit het gehackte e-mailaccount werden verstuurd, is zodanig subtiel van aard, dat die omstandigheid niet aan Frontyrion kan worden tegengeworpen. In algemene zin valt niet in te zien waarom Frontyrion op dergelijke afwijkingen had moeten aanslaan, terwijl die (valse) e-mailberichten bij CF Holdings zelf ook geen alarmbellen deden rinkelen. Ook dit verwijt gaat dus niet op.

4.9. Tot slot verwijt CF Holdings Frontyrion dat zij zich niet voldoende heeft ingespannen om de frauduleuze betalingen bij de Portugese bank terug te halen nadat CF Holdings de fraude had gemeld (alert 7 van de dagvaarding). Naar Frontyrion en [gedaagde 2] onweersproken hebben aangevoerd, heeft Frontyrion de recall-verzoeken tijdig doorgestuurd aan Currencycloud, die de recall-verzoeken verder heeft afgehandeld via het SWIFT-netwerk. Uit het door CF Holdings als productie 36 overgelegde e-mailbericht van [naam 1] van 28 september 2023 volgt, anders dan CF Holdings stelt, niet dat het zeven dagen zou hebben geduurd voordat de recall-verzoeken door Frontyrion of Currencycloud in behandeling zijn genomen. Frontyrion en [gedaagde 2] hebben verder toegelicht dat Frontyrion ook na het doorsturen van de recall-verzoeken de communicatie van CF Holdings met Currencycloud is blijven faciliteren, bijvoorbeeld over de door Currencycloud verzochte CRN-nummers. Van Frontyrion kon op grond van de Frontyrion Service Agreement ook niet meer worden verwacht dan dat zij snel en adequaat de communicatie met Currencycloud over de fraude en de (afwikkeling van de) recall-verzoeken zou verzorgen. Ook dit laatste verwijt is dus ongegrond.