Litnet

Abstract

Delictual liability for pure economic loss as a result of fraud by email hackers

The plaintiff was the purchaser of immovable property and the defendant the appointed conveyancer in the sale transaction. The plaintiff made an electronic payment in the amount of R5 500 000 to what she believed to be the bank account of the defendant. The details of the bank account were obtained by the plaintiff from an email received from a secretary employed by the defendant. Unbeknownst to the plaintiff, her email account was hacked and the banking details in the email were replaced with the hacker’s own details. She then paid the amount to the unknown fraudster who disappeared with the money. She filed a delictual claim against the defendant to recover her pure economic loss. In the court a quo, Mudau J held that the defendant acted wrongfully since he had a legal duty to prevent the plaintiff’s loss. The following factors or policy considerations justify the expansion of Aquilian liability in this case: The defendant knew that negligent conduct on his part could prejudice the plaintiff; the defendant was practicing the profession of conveyancer which presupposes a particular skill, competence and knowledge; granting the claim would not likely give rise to unlimited liability because the plaintiff’s identity was established and her loss was limited; and the plaintiff was vulnerable to the risk of harm because she could not have adequately protected herself from the risk.

However, the Supreme Court of Appeal did not agree. Dawood AJJA made short shrift of the court’s decision that the defendant acted wrongfully against the plaintiff, based on two grounds, viz. the possibility of unlimited liability, and the fact that the plaintiff was in a position to protect herself by simple measures throughout.

Keywords: conveyancer;delict; fraud by email hackers; legal duty; policy considerations; pure economic loss;unlimited liability; wrongfulness

Trefwoorde: aktebesorger; bedrogdeur e-pos-kuberkraking; beleidsoorwegings; delik; onbeperkte aanspreeklikheid; onregmatigheid; regsplig; suiwer ekonomiese verlies

1. Inleiding

Hierdie beslissing van die Hoogste Hof van Appèl het te make met deliktuele aanspreeklikheid weens suiwer ekonomiese verlies deur middel van sogenaamde “business email compromise” (BEC), oftewel blootstelling van besigheids-e-pos. Hierdie tipe bedrog kom baie dikwels voor waar fondse deur besigheids-e-pos kommunikasie blootgestel en dan onderskep word. (Sien vir besprekings van die saak Scott 2025:263−75; Zitzke 2024:145−61.) In Gripper & Co (Pty) Ltd v Ganedhi Trading Enterprises CC 2025 3 SA 279 (WKK) 383 beskryf die hof dié tipe misdaad so (sien ook Mosselbaai Boeredienste (Pty) Ltd v OKB Motors CC 2024 6 SA 564 (FB)):

Cyber-crime is rampant, and has been for many years. Schemes to divert money legitimately owed to unauthorised bank accounts, without the knowledge of either party, are a common occurrence.

Wat suiwer ekonomiese verlies betref, word daar algemeen aanvaar dat dit vermoënsverlies omvat wat nie voortspruit uit saakbeskadiging of persoonlikheidskrenking nie (sien Van der Walt en Midgley 2016:136−8; Boberg 1984:103 e.v.; Loubser en Midgley (reds.) 2017:274−80; Fagan 2019:186 e.v.; vgl. Neethling en Potgieter 2020:349−50; sien ook Telematrix (Pty) Ltd t/a Matrix Vehicle Tracking v Advertising Standards Authority SA 2006 1 SA 461 (HHA) 465). Teenswoordig word daar ook aanvaar dat skadevergoeding weens suiwer ekonomiese verlies in beginsel ex lege Aquiliae verhaal kan word (sien bv. Telematrix 465; Minister of Finance v Gore 2007 1 SA 111 (HHA); Fourway Haulage SA (Pty) Ltd v SA National Roads Agency Ltd 2009 2 SA 150 (HHA)). Om aanspreeklikheid weens suiwer ekonomiese verlies te vestig, is die vanselfsprekende kwalifikasie dat die dader se optrede aan die algemene deliksvereistes (naamlik die handeling, onregmatigheid, skuld, kousaliteit en skade) moet beantwoord (sien Telematrix 468; Neethling en Potgieter 2020:4). In hierdie inleiding word daar net op onregmatigheid gefokus aangesien dié element weens die ontwikkeling van ’n nuwe toets daarvoor naas die tradisionele toets veel kontroverse ontlok het (sien hieroor Neethling en Potgieter 2020:93−106). Vir die doeleindes van hierdie bespreking word as uitgangspunt aanvaar, ook deur die regspraak (sien Neethling en Potgieter 2020:350 vn. 163 vir verwysings), dat onregmatigheid by suiwer ekonomiese verlies geleë is in die nie-nakoming van ’n regsplig om benadeling te vermy. Nou moet dit egter goed voor oë gehou word dat daar nie ’n algemene regsplig bestaan om suiwer ekonomiese benadeling van andere te voorkom nie; of, anders gestel, dat die feitelike veroorsaking van suiwer ekonomiese verlies nie prima facie onregmatig is nie (sien bv. Minister for Safety and Security v Scott [2014] ZASCA 84 par. 32; Gore 38; Telematrix 468; Fourway Haulage 156)). Daarom moet daar in elke besondere geval volgens die omstandighede vasgestel word of daar ’n regsplig bestaan het om suiwer ekonomiese benadeling te vermy. Die maatstaf wat by hierdie beoordeling aangewend moet word, is die algemene redelikheids- of boni mores-onregmatigheidskriterium (sien bv. Scott par. 32; Hirschowitz Flionis v Bartlett 2006 3 SA 575 (HHA) 588–89; Santam Bpk v Henery 1999 3 SA 421 (HHA) 430). Soos bekend, vereis dié kriterium dat die hof “a value judgement embracing all relevant facts and involving considerations of policy” moet uitspreek (sien Indac Electronics (Pty) Ltd v Volkskas Bank Ltd 1992 1 SA 783 (A) 797; sien ook Steenkamp NO v Provincial Tender Board, Eastern Cape 2007 3 SA 121 (KH) 139). Die boni mores-kriterium behels basies ’n nou­keurige afweging van die belange van die betrokke partye met inagneming van die gemeenskapsbelang (Coronation Brick (Pty) Ltd v Strachan Construction Co (Pty) Ltd 1982 4 SA 371(D) 384). Die tradisionele regspligbenadering vir die bepaling van onregmatigheid in gevalle van suiwer ekonomiese verlies (asook lates) word ook in die beslissing onder bespreking gevolg (vgl. Hawarden (HHA) 16−7 waar die hof die volgende diktum van appèlregter Brand in Hawekwa Youth Camp v Byrne 2010 6 SA 83 (HHA) par. 20 aanhaal):

The principle regarding wrongful omissions have been formulated by this court on a number of occasions in the recent past. These principles proceed from the premise that negligent conduct which manifests itself in the form of a positive act causing physical harm to the property or person of another is prima facie wrongful. By contrast, negligent conduct in the form of an omission is not regarded as prima facie wrongful. Its wrongfulness depends on the existence of a legal duty. The imposition of this legal duty is a matter for judicial determination, involving criteria of public and legal policy consistent with constitutional norms.

Ter wille van beginselhandhawing moet nietemin daarom weereens uitgewys word dat appèlregter Brand in Country Cloud Trading CC v MEC, Department of Infrastructure Development 2014 2 SA 214 (HHA) 222 (net inMTO Forestry (Pty) Ltd v Swart 2017 5 SA 76 (HHA) 82−3 ondersteun; sien Neethling en Potgieter 2018:145 e.v.) ten onregte korte mette gemaak het met die regspligbegrip wat volgens hom uit ons reg geweer moet word omdat dit dikwels verwar word met die Engelsregtelike “duty of care”-begrip. Nieteenstaande moontlike verwarring wat uiteraard vermy moet word, is die regspligbenadering by aanspreeklikheid weens ’n late en suiwer ekonomiese verlies so ingeburger in ons positiewe reg dat die howe en skrywers nie geredelik daarvan afstand sal of behoort te doen nie (sien ook Neethling en Potgieter 2020:103). Wat die regspligbenadering by suiwer ekonomiese verlies betref, stel die Hoogste Hof van Appèl die teenswoordige posisie by monde van appèlregter Theron in Minister for Safety and Security v Scott [2014] 3 All SA 306 (HHA) par. 32 klinkklaar soos volg:

Neethling et al rightly state that the courts have held that the wrongfulness of an act causing pure economic loss almost always lies in the breach of a legal duty. The authors note that there is no general duty to prevent pure economic loss. As to whether, in a particular case, there was a legal duty to avoid pure economic loss, the yardstick is the general criterion of reasonableness or boni mores. This involves the exercise of a value judgment which embraces relevant facts and considerations of policy. In essence, this amounts to judicial control over the scope of delictual liability.

In die lig van die ook resente onomwonde erkenning en aanvaarding van die regspligbenadering by suiwer ekonomiese verlies en lates (sien bv. Old Mutual Unit Trust Managers Ltd v Living Hands (Pty) Ltd 2024 6 SA 87 (HHA) 94−7) kan dit aanvaar word dat appèlregter Brand se radikale voorstel dat daar van dié benadering afgesien word, ’n bloutjie in ons deliktereg geloop het.

By die toepassing van die boni mores-maatstaf ter bepaling van die regsplig by suiwer ekono­miese verlies kan ’n verskeidenheid erkende faktore, wat nie ’n numerus clausus is nie, volgens die regspraak ’n rol speel (sien Neethling en Potgieter 2020:352–7). Indien ’n mens met ’n nie-erkende faktor te make het, verduidelik appèlregter Brand in Fourway Haulage 161 die vasstelling van die regsplig by suiwer ekonomiese verlies soos volg: “[T]he first step is [...] to identify the considerations of policy that are of relevance. As part of the identification process assistance can of course be gained from previous decisions, both at home and abroad, as well as from the helpful analysis by academic authors.”

Teen hierdie agtergrond kan die beslissing van die Hoogste Hof Van Appèl in Hawarden nou onder oë geneem word. Ten einde egter ’n volledige beeld van die beslissing te verkry, moet eers die beslissing van die hof a quo in Hawarden v Edward Nathan Sonnenbergs Inc 2023 4 SA 152 (GJ) van nader bekyk word (sien Scott 2023:473−90 vir ’n deeglike bespreking; sien ook Zitzke 2024:146−9). Vooraf moet die feite van die sake egter eers kortliks gestel word.

2. Feite

Die eiseres was die koper van onroerende eiendom en die verweerder die aangestelde aktebesorger in die verkooptransaksie. Die eiseres het ’n elektroniese betaling van die bedrag van R5 500 000 gemaak in wat sy geglo het die bankrekening van die verweerder was. Die besonderhede van die bankrekening is deur die eiseres verkry uit ’n e-pos wat ontvang is van ’n sekretaresse in diens van die verweerder. Onbekend aan die eiseres, is haar e-posrekening gekaap en die bankbesonderhede in die e-pos vervang met die kaper se eie besonderhede. Sy het toe die bedrag aan die onbekende bedrieër betaal, wat met die geld verdwyn het. Sy het ’n skadevergoedingseis teen die verweerder ingedien om haar suiwer ekonomiese verlies te verhaal.

3. Uitspraak Hawarden (GJ)

Regter Mudau (parr. 3−5) wys daarop dat die eiseres aangevoer het dat die verweerder ’n regsplig gehad het om voldoende sorg aan die dag te lê in die uitvoering van die transaksie deur die eiseres te waarsku teen e-pos-kuberkraking in die vorm van blootstelling van besigheids-e-pos (BEC), en om sy bankbesonderhede op ’n veilige manier te kommunikeer. Die verweerder het sy plig versuim en gevolglik het die eiseres skade van R5,5 miljoen gely. Die eiseres het verder onder meer aangevoer dat die verweerder ’n plig gehad het om haar te waarsku voordat enige betaling gemaak word om te verseker dat die rekening waarin betaling gemaak sou word die korrekte bankrekening is en om voldoende sekuriteitsmaatreëls soos wagwoordbeskerming van e-posse te implementeer.

Hierteenoor het die verweerder ontken dat sy optrede onregmatig of nalatig was, of die verlies veroorsaak het. As alternatief het hy beweer dat die eiseres bydraend nalatig was. Sy het onder meer versuim om redelike sorg aan die dag te lê deur na te laat om te verseker dat dit veilig is om die balans van die koopprys deur elektroniese oordrag te betaal; of om redelike sorg aan die dag te lê om te verseker dat die nommer van die rekening waarheen sy die balans van die koopprys oorgeplaas het, korrek was; en om ’n werknemer van die verweerder of haar eie bank te vra of dit veilig is om die balans van die koopprys te betaal aan die rekeningnommer wat per e-pos ontvang is.

Volgens regter Mudau is die kernvraag of die verweerder deliktueel aanspreeklik is vir die eiseres se verlies. Na ’n uitgebreide bespreking van die feitelike agtergrond en die getuienis (parr. 6−97), bespreek die regter die toepaslike regsbeginsels. Hy bevestig (par. 98) die vereistes vir deliktuele aanspreeklikheid, te wete die handeling, onregmatigheid, skuld, kousaliteit en skade. As uitgangspunt geld res perit domino (Telematrix 468) en hy bevestig die tradisionele benadering tot die element van onregmatigheid:

Our law recognises that there is no general right not to be caused pure economic loss and, unlike loss to person or to property, where pure economic loss results, the conduct is prima facie lawful. Liability does not arise unless policy considerations require that the plaintiff be compensated.

Hierdie posisie is ook van toepassing op aanspreeklikheid weens suiwer ekonomiese verlies wat deur ’n late (parr. 104−5) teweeggebring is. Ook hier is die geykte benadering of daar regsplig bestaan het om die ekonomiese verlies te voorkom (par. 107), en dit sal eweneens afhang van oorwegings van openbare beleid (par. 108). Hy vervolg dat “the wrongfulness test is open-ended and flexible and should not ‘be trapped within the limitations of the past’”.

Die hof (par. 102) verklaar voorts dat die getuienis tydens die verhoor aangetoon het dat die verweerder voor die bedrieglike voorval bewus was van die risiko’s van BEC en dat hy versuim het om die eiseres te waarsku oor die bekende risiko’s van e-pos- en PDF-manipulasie of van voorsorgmaatreëls wat teen BEC getref kan word voordat die eiser die elektroniese betaling bewerkstellig. Dit was ook nie betwis dat BEC-gevalle algemeen voorkom nie, veral in die aktebedryf. Die feit dat die verweerder geweet het dat nalatige optrede aan sy kant die eiseres sou kon benadeel, speel ’n baie belangrike straks deurslaggewende rol by die bepaling van die regsplig (sien Neethling en Potgieter 2020:352−3; vgl. Scott 2023:489; sien verder Boberg 1984:146−7; BoE Bank Ltd v Ries2002 2 SA 39 (HHA) 49). Verder het die verweerder beheer gehad oor die manier waarop hy sy bankrekeningbesonderhede aan die eiseres oorgedra het – in ’n onbeskermde PDF-aanhangsel by ’n e-pos wat hy aan haar gestuur het – terwyl tegniese veiligheidsmaatreëls, onder andere multikanaalverifikasie (persoonlike of telefoniese bevestiging van bankbesonderhede), vir hom beskikbaar was om kuberbedrog te voorkom.

Nou is dit so dat een van die erkende faktore wat op die bestaan van ’n regsplig kan dui, die feit is dat die verweerder ’n bepaalde beroep (soos aktebesorger of prokureur) beoefen het wat besondere vaardigheid, bekwaamheid en kennis veronderstel. Dit beteken dat waar die verweerder professionele dienste verskaf, hy ’n regsplig het om nie suiwer finansiële verlies vir andere te veroorsaak nie (sien Neethling en Potgieter (2020:353 en die verwysings in vn. 179)). Hierdie faktor kan in casu dus aanduidend daarvan wees dat die verweerder ’n regsplig gehad het om stappe te doen ten einde die eiseres se verlies te voorkom. Die verweerder (parr. 112−3) het egter te kenne gegee dat, indien die hof hom aanspreeklik sou hou, dit alle aktebesorgers sal blootstel aan eise van dieselfde aard deur derde partye met wie hulle geen verhouding het nie, vir verliese wat hulle gely het deur bedrieërs wat hul e-posrekeninge gekaap het. Daar word aangevoer (par. 114) dat die hof moet weier om aanspreeklikheid vir suiwer ekonomiese verlies in hierdie saak uit te brei omdat dit waarskynlik tot onbeperkte aanspreeklikheid kan lei, of “one fraught with an overwhelming potential liability” is. Dit is byvoorbeeld die geval waar die gewraakte optrede waarskynlik ’n “multiplicity of actions” wat “socially calamitous” kan wees tot gevolg gaan hê. In sodanige omstandighede word dan te kenne gegee dat die verweerder nie ’n regsplig gehad het om die verlies te vermy nie (sien Country Cloud par. 51; AB Ventures Ltd v Siemens Ltd 2011 4 SA 614 (HHA) par. 21; vgl. Neethling en Potgieter 2020:354–5). In Greenfield Engineering Works (Pty) Ltd v NKR Construction (Pty)Ltd 1978 4 SA 901 (N) 916–7 verduidelik die hof wanneer ’n regsplig wel erken sal word:

Looking at the facts involved in the plaintiff’s [...] claim it is important that the extent of the potential loss is finite. Nor is it necessary in such a situation for a defendant to speculate as to the identity of the possible claimant. It is further a case of a single loss occurring but once and hardly likely to bring in train a multiplicity of actions. The loss, moreover, is a direct and not an indirect economic consequence of the defendant’s negligence. If I may borrow from the language of an American decision (Rozny v Mornul(1969) 43 111 2d at 54, 250 NE 2d at 656): “The situation is not one fraught with an overwhelming potential liability.”

In casu sou ’n mens ook kon sê dat die eiseres se identiteit vasgestaan het, dat haar verlies beperk was en waarskynlik nie tot onbeperkte aanspreeklikheid aanleiding sou gee nie.

Vervolgens behandel regter Mudau (parr. 115−7) die vraag of die reg genoegsame voorsiening gemaak het dat die eiseres haarself in die huidige omstandighede voldoende teen kwesbaarheid kon beskerm het. Dit gaan hier oor die eiseres se “kwesbaarheid vir risiko”. In Cape Empowerment Trust Ltd v Fisher Hoffman Sithole 2013 5 SA 183 (HHA) par. 28 verklaar appèlregter Brand dat, soos ontwikkel in ons reg, kwesbaarheid vir risiko beteken dat die eiseres nie redelikerwys die risiko van skade kon vermy het nie. Omgekeerd is ’n bevinding van niekwesbaarheid aan die kant van die eiseres ’n belangrike aanduiding teen die oplegging van ’n regsplig op die verweerder (sien bv. Country Cloud Trading CC v LUR, Departement van Infrastruktuurontwikkeling 2014 2 SA 214 (HHA) 226−7; Country Cloud Trading CC v LUR, Departement van Infrastruktuurontwikkeling, Gauteng 2015 1 SA 1 (KH 19-22; sien ook Neethling en Potgieter 2020:356; Neethling en Potgieter 2015:718).

Waar die eiseres nie haarself kon beskerm nie (op kontraktuele wyse of andersins), kan sy kwesbaar wees vir die risiko van benadeling (par. 118). Die verweerder voer egter aan dat sy haar verlies kon vermy het deur ’n werknemer van die bank te vra om die bankbesonderhede te bevestig of die hulp van haar eie bank te soek, wat sy spesifiek wel gedoen het (par. 119). In hierdie verband het die bank bevestig dat ’n werknemer se opleiding en bewustheid ten opsigte van BEC hopeloos onvoldoende was; laasgenoemde was destyds onbewus van die relevante risiko’s en sy het nie gedink dat die eiseres in gevaar was nie (par. 120). Daarteenoor het ’n ander werknemer gesê dat hy die risiko’s van BEC ken en verstaan. Hy het geweet dat die verweerder die eiseres in gevaar gestel het deur sy bankbesonderhede per e-pos aan haar te stuur, en tog het hy geswyg (par. 121).

Die hof bevind dat die verweerder ’n regsplig teenoor die eiseres as koper van eiendom verskuldig was. Hy het beheer gehad oor die manier waarop sy bankrekeningbesonderhede aan haar oorgedra is. Dit het hy gedoen by wyse van ’n onbeskermde e-pos waarby sy bankrekeningbesonderhede in ’n PDF-dokument aangeheg was en wat maklik gemanipuleer kon word. Hy het boonop versuim om van veiligheidsmaatreëls of multikanaalverifikasie (persoonlike of telefoniese bevestiging) gebruik te maak. Die regsplig wat aan die eiseres as koper verskuldig was, het ontstaan die oomblik toe die verweerder die opdrag aanvaar het om as aktebesorger in die transaksie op te tree. Van daardie oomblik af was die eiseres afhanklik van die verweerder om professioneel op te tree. Sy pligte in hierdie verband sluit in sy plig om die eiseres te waarsku oor die bekende risiko’s van BEC en om die nodige voorsorgmaatreëls te tref om haarself te beskerm (par. 123). Die eiseres het voldoende verduidelik waarom sy nie die verweerder se bankbesonderhede nagegaan het of die bank gevra het om dit te doen nie. Sy het die verweerder vertrou en aanvaar dat hy sou sorg om enige onveiligheid te voorkom (par. 124). Die feit dat dit ’n byna universele praktyk was vir aktebesorgers om hul bankbesonderhede per e-pos aan ander te stuur, onthef nie die verweerder van sy sorgelose gedrag nie, omdat hy geweet het dat dit onveilig was en ook geweet het om voorsorgmaatreëls te tref (par. 125). Objektief beskou kan die eiseres nie verwyt word daarvoor dat sy haar vertroue in die verweerder geplaas het omdat sy geweet het dat hy aan ’n baie groot en betroubare regsfirma verbonde was nie. Volgens die regter het sy nie gedink sy hoef advies in te win nie, aangesien sy te doen gehad het met ’n regsfirma waarvan die reputasie alom bekend was. In sodanige omstandighede het daar beslis ’n regsplig bestaan tussen die eiseres as koper en die akteprokureur wat die transaksie hanteer het (par. 126). Regter Mudau vervolg (par. 127):

I have no difficulty in concluding that the risk of BEC was foreseen by the defendant. It was undoubtedly an experienced conveyancer which understood the risks inherent in conveyancing transactions. In the present case, the proximate cause of the loss was that it provided its own bank account details and was responsible for their accuracy and for the safety of their transmission. In doing so it acted wrongfully in light of legal convictions of community. In my view, the plaintiff’s case established clearly that sending bank details by email is inherently dangerous, and so must be avoided in favour of, for example, secure portals or other mitigating technologies available which could have been implemented by the defendant. The precautions that the defendant should have and could have implemented but failed to implement would have prevented the fraud regardless how or why the plaintiff’s email was hacked. Although the plaintiff was not a client of the defendant, she was, as stated, still in the care of the defendant and vulnerable to risk.

Vervolgens maak regter Mudau korte mette met die deliksvereistes van nalatigheid en kousaliteit. Hy bevind (par. 128) dat die verweerder nalatig opgetree het. Hy verwys (par. 100) wel na die redelike voorsien- en voorkombaarheidstoets ingevolge Kruger v Coetsee 1966 2 SA 428 (A) 430 (sien hieroor Neethling en Potgieter 2020:176−84), maar dit kom nie voor of hy dié toets enigsins toepas nie. (Sien vir kritiek op die regter se benadering tot nalatigheid Scott 2023:485−7, Zitzke 2024:148−9.)

Wat kousaliteit betref verwys die hof (par. 129) kortliks na feitelike en juridiese kousaliteit (sien hieroor Neethling en Potgieter 2020:215 e.v.; 230 e.v.). Regter Mudau bevind, deur toepassing van die “but-for test” soos beskryf word in International Shipping Co (Pty) Ltd v Bentley 1990 1 SA 680 (A) 700, dat die verweerder wel die eiseres se skade feitelik veroorsaak het. Met betrekking tot juridiese kousaliteit bevind die regter dat die eiseres se verlies nie te ver van die verweerder se optrede verwyderd was nie aangesien dit redelikerwys voorsienbaar was (sien ook Scott 2023:488, Zitzke 2024:148−9).

Regter Mudau (par. 131) kom dan tot die volgende slotsom:

The interests of the defendant as well as the society demand that a legal duty is recognised in this case. [Die verweerder] is best placed to understand and prevent BEC. Individuals in society are generally not as well-placed to respond to the ever-evolving threat of cyber-crime, which is sophisticated and technical in nature. As stated in Estate Van der Byl v Swanepoel [1927 AD 141 at 150], “where one of two innocent parties has to suffer a loss arising from the misconduct of a third party it is for the public advantage that the loss should fall … on that one of the two who could most easily have prevented the happening or the recurrence of the mischief”. All facts considered, accordingly, I am persuaded that considerations of legal and public policy require liability in this case. Accordingly, the plaintiff’s claim is upheld.

3.1 Samevatting en slot

Dit is belangrik om daarop te let dat die howe ’n konserwatiewe benadering ten aansien van die uitbreiding van Aquiliese aanspreeklikheid volg. In Lillicrap, Wassenaar and Partners v Pilkington Brothers (SA) (Pty) Ltd1985 1 SA 475 (A) 500, 503–4 (sien bv. ook Country Cloud 9–10; South African Hang and Paragliding Association v Bewick 2015 3 SA 449 (SCA) 461; Telematrix 468) stel die hof dit soos volg: “South African law approaches the matter in a more cautious way [...] and does not extend the scope of the Aquilian action to new situations unless there are positive policy considerations which favour such an extension.”

Ten einde dus Aquiliese aanspreeklikheid uit te brei tot die onderhawige geval van suiwer ekonomiese verlies deur middel van sogenaamde “business email compromise” (BEC), oftewel blootstelling van besigheids-e-pos, moet daar positiewe faktore of beleidsoorwegings aanwesig wees wat die uitbreiding regverdig, en dit blyk wel hier die geval te wees. Die verweerder het geweet dat nalatige optrede aan sy kant die eiseres sou kon benadeel; die verweerder het die beroep van aktebesorger beoefen wat besondere vaardigheid, bekwaamheid en kennis veronderstel; toestaan van die eis sou waarskynlik nie tot onbeperkte aanspreeklikheid aanleiding gee nie omdat die eiseres se identiteit vasgestaan het en haar verlies beperk was; en die eiseres was kwesbaar vir die risiko van benadeling omdat sy haar nie voldoende teen die risiko kon beskerm het nie.

Die beslissing om Aquiliese aanspreeklikheid uit te brei tot die onderhawige geval word dus ondersteun (vgl. ook Zitzke 2024:160−1; Scott 2023:489). Volgens Scott 2023:490 behoort die uitspraak ’n heilsame uitwerking te hê in die sin dat dit die prokureursberoep gevoelig sal maak vir die risiko’s van BEC. Hy voorsien nietemin dat dié beroep appèl sou aanteken teen regter Mudau se uitspraak soos inderdaad gebeur het. Dit geniet vervolgens die aandag.

4. Uitspraak Hawarden (HHA)

Na ’n uiteensetting van die agtergrond en feite (parr. 2−11) en die pleitstukke (parr. 12−15) verklaar waarnemende appèlregter Dawood (par. 16) dat dit onnodig is om al die vereistes te oorweeg wat die eiseres aangevoer het om te kan slaag met haar delikseis teen die verweerder. Sy besluit om net te fokus op die vraag of die eiseres onregmatigheid as element van die delikseis wat spruit uit ’n late wat suiwer ekonomiese verlies veroorsaak het, bewys het.

Wat onregmatigheid ten aansien van aanspreeklikheid weens suiwer ekonomiese verlies en lates betref, haal die hof (parr. 17−8) verskeie relevante diktums uit beslissings aan ten einde die toepaslike regsbeginsels te beskryf: te wete Home Talk Developments (Pty) Ltd v Ekurhuleni Metropolitan Municipality 2018 1 SA 391 (HHA) par. 1;Hlumisa Investment Holdings (RF) Ltd v Kirkinis 2020 5 SA 419 (HHA) parr. 58, 62, 63; en Hawekwa Youth Camp v Byrne 2010 6 SA 83 (HHA) par. 22. Hierdie beginsels kan kortliks soos volg opgesom word (sien ook hier bo par. 1). As uitgangspunt in die deliktereg geld die reël res perit domino. Anders as in gevalle van saakbeskadiging en persoonlikheidskrenking, is die veroorsaking van suiwer ekonomiese verlies nie prima facie onregmatig nie. Dit geld ook by vermoënsverlies wees ’n late. Onregmatigheid sal net aanwesig wees as daar ’n regsplig was om die verlies te vermy. Of die regsplig aanwesig is, geskied deur ’n regterlike beoordeling van kriteria van publieke en regsbeleid in ooreenstemming met konstitusionele norme. Sodoende kan bepaal word of dit redelik sal wees om die verweerder vir die betrokke verlies aanspreeklik te stel.

Volgens die hof (par. 20) moet die kwessie van onregmatigheid oorweeg word met inagneming van die volgende: Die eiseres was nie ’n kliënt van die verweerder nie. Daar was geen kontraktuele (prokureur-kliënt-) verhouding tussen die partye toe sy haar verlies gely het nie. Sy het haar verlies gely nie weens enige probleem in die verweerder se stelsel nie, maar omdat kuberkrakers haar e-posrekening geïnfiltreer en haar betaling wat vir die verweerder bedoel was, bedrieglik na hul eie rekening herlei het. Haar verlies is dus veroorsaak deur BEC, oftewel blootstelling van besigheids-e-pos. Sy is gewaarsku oor hierdie risiko wat vermy kon gewees het deur vooraf die verweerder se rekeningbesonderhede te verifieer. Dit sou redelik maklik vir die eiseres gewees het om die risiko te vermy. Sy het egter versuim om dit te doen en kon nie haar naltigheid in daardie verband verklaar nie. Sy het dus genoeg middele gehad om haar te beskerm. Boonop sou enige waarskuwing deur die verweerder oor die risiko van BEC in die omstandighede van hierdie saak betekenisloos gewees het, want teen daardie tyd was die kubermisdadiger reeds in haar e-posrekening ingebed en gevolglik het die risiko reeds gerealiseer.

Waarnemende appèlregter Dawood (par. 21) vervolg:

In this case, a finding that [die verweerder se] failure to warn [die eiseres] attracts liability would have profound implications not just for the attorneys’ profession, but all creditors who send their bank details by email to their debtors. The ratio of the high court judgment that all creditors in the position of [die verweerder] owe a legal duty to their debtors to protect them from the possibility of their accounts being hacked is untenable. The effect of the judgment of the high court is to require creditors to protect their debtors against the risk of interception of their payments. The high court should have declined to extend liability in this case because of the real danger of indeterminate liability.

Die regter verwys (par. 22) dan na die beslissing van die Konstitusionele Hof in Country Cloud Trading CC v MEC, Department of Infrastructure Development, Gauteng 2015 1 SA 1 (KH) par. 24 waar die risiko van onbeperkte aanspreeklikheid beskou word as die belangrikste beleidsoorweging teen die erkenning van aanspreeklikheid weens suiwer ekonomiese verlies. Indien eise vir suiwer ekonomiese verlies te vryelik erken word, bestaan daar die risiko van “liability in an indeterminate amount for an indeterminate time to an indeterminate class”.

Waarnemende appèlregter Dawood (par. 23) noem ook dat die hof in Country Cloud “vulnerability to risk” identifiseer as ’n belangrike faktor by die bepaling van die onregmatigheid van eise vir suiwer ekonomiese verlies. In Country Cloud (par. 51) word dit so gestel:

It is settled that where a plaintiff has taken, or could reasonably have taken, steps to protect itself from or to avoid loss suffered, this is an important factor counting against a finding of wrongfulness in pure economic loss cases. In these circumstances, the plaintiff is not “vulnerable to risk” and, so it is reasoned, there is no pressing need for the law of delict to step in to protect the plaintiff against loss. (Sien ook die verwysing in par. 24 na Cape Empowerment Trust Limited v Fisher Hoffman Sithole 2013 5 SA 183 (HHA) par. 28; en die bespreking hier bo par. 3.)

Met verwysing na Trustees for the Time Being of Two Oceans Aquarium Trust v Kantey & Templer (Pty) Ltd 2006 3 SA 138 (HHA) par. 23 verklaar regter Dawood (par. 25) dat die eiseres kwesbaar vir die risiko van benadeling sal wees slegs waar sy nie redelikerwys die risiko op ander maniere kon vermy het nie. Nou is dit duidelik dat die eiseres in casu redelikerwys die risiko kon vermy het. Sy het voldoende geleenthede gehad om die rekeningbesonderhede van die verweerder te verifieer. Sy was ook bewus gemaak van die noodsaaklikheid om bankbesonderhede teen die risiko’s van BEC-bedrog te verifieer. Daar was dus meer as voldoende beskerming vir die eiseres beskikbaar.

Die hof (par. 26) kom tot die volgende slotsom:

As she had ample means available to her, she must in the circumstances take responsibility for her failure to protect herself against a known risk. There can thus be no reason to shift responsibility for her loss to [die verweerder]. It follows that [die eiseres] ought to have failed before the high court. Consequently, the appeal must succeed.

4.1 Samevatting en gevolgtrekking

Waarnemende appèlregter Dawood se uitspraak skop af en eindig met die vereiste van onregmatigheid as element van die delikseis wat spruit uit ’n late wat suiwer ekonomiese verlies veroorsaak het. Sy verwys na ’n aantal beslissings wat die algemene beginsels in hierdie verband weerspieël, onder andere dat die toets vir onregmatigheid is of dit redelik sal wees om die verweerder aanspreeklik te stel, dus die nuwe toets vir onregmatigheid. Daar is egter geen verwysing na die boni mores- of redelikheidsmaatstaf as tradisionele toets in hierdie verband nie, al is dit in die verlede dikwels ten aansien van suiwer ekonomiese verlies aangewend (sien hier bo par. 1). Dit is jammer dat die hof nagelaat het om die geldige kritiek te meld wat teen die nuwe toets geopper is (sien Neethling en Potgieter 2020:94–102), veral aangesien selfs die grondlegger van die toets, Fagan (2018:viii–ix, 246 ff) toegegee het dat sy “original analysis was in some respects simplistic” en dat hy nou “less confident [is] that the analysis got it entirely right” met sy aanspraak, inter alia, dat “the wrongfulness of negligent harm-causing conduct turns on the reasonableness of imposing liability for it” (sien verder Neethling en Potgieter 2020:95 vn. 363).

Die hof speel gou klaar met die besluit dat die verweerder nie onregmatig teenoor die eiseres opgetree het nie, en wel op twee gronde, te wete die moontlikheid van onbeperkte aanspreeklikheid, en die feit dat die eiseres deurgaans in staat was om haarself te beskerm deur eenvoudige voorsorgmaatreëls te tref.

Hierdie gronde verg nadere beskouing. Zitzke 2024:146−9 stem nie saam met die beslissing van die Hoogste Hof van Appèl nie en vat sy besware soos volg saam: (i) die feit dat die erkenning van ’n regsplig in casu net ’n verdere ontwikkeling van die reg sou behels wat alreeds ’n regsplig erken tussen ’n prokureur en derde partye wat betalings maak; (ii) die professionele aansien van prokureurs en statutêre verpligtinge wat op regspraktisyns geplaas word; (iii) die nabye en direkte verhouding tussen die eiseres en die verweerder in hierdie geval; (iv) die vertroue wat die publiek in regsfirmas behoort te hê; (v) die feit dat daar geen aantoonbare risiko van onbepaalde aanspreeklikheid is nie; en (vi) die feit dat die tegnologiese risiko van e-pos-kuberkraking objektief akuut voorsienbaar is, asook die verweerder se subjektiewe kennis hiervan.

Wat die eerste beleidsoorweging betref, wys Scott 2025:273 op die besware wat reeds geopper is teen die oënskynlik allerbelangrikheid van die risiko of die gevaar van onbeperkte aanspreeklikheid by suiwer ekonomiese verlies en dat dit in die algemeen oordryf word. Hy verklaar egter: “Be that as it may, in Country Cloud our apex court elevated it to the prime policy consideration in this context […] and the doctrine of stare decisis entrenches its status in our law of delict.” Daar moet nietemin in gedagte gehou word dat die risiko van onbeperkte aanspreeklikheid nie slegs as ’n moontlikheid moet bestaan nie, maar sekerlik as ’n redelike waarskynlikheid aantoonbaar moet wees.

Wat die tweede beleidsoorweging, te wete die kwesbaarheid van die eiseres vir die risiko van verlies, betref, is Scott (2025:274) dit ook eens dat sy nie kwesbaar was nie, omrede “it would be reasonable to expect anyone doing business by means of electronic bank transfers to take the most basic precautions against losses caused by cyberfraud”.

Dit is teleurstellend dat die Hoogste Hof van Appèl bereid was om op slegs twee faktore die relatief nuwe kwessie van deliktuele aanspreeklikheid weens suiwer ekonomiese verlies deur middel van sogenaamde “business email compromise” (BEC) oftewel blootstelling van besigheids-e-pos, af te handel, terwyl daar ander faktore was wat beslis ook die aandag geverg het. Die eerste hiervan is dat die verweerder bewus was of geweet het van die risiko’s van BEC voor die bedrieglike voorval en dat hy versuim het om die eiseres te waarsku oor die bekende risiko’s van e-pos- en PDF-manipulasie of van voorsorgmaatreëls wat teen BEC getref kan word voordat die eiseres die elektroniese betaling kon bewerkstellig het. Die feit dat die verweerder geweet het dat nalatige optrede aan sy kant die eiseres sou kon benadeel, speel ’n baie belangrike, straks deurslaggewende rol by die bepaling van die regsplig wat op hom gerus het (sien Neethling en Potgieter 2020:352; vgl. Zitzke 2024:158; Scott 2025:275). Die tweede is die feit is dat die verweerder ’n bepaalde beroep (soos aktebesorger of prokureur) beoefen het, wat besondere vaardigheid, bekwaamheid en kennis veronderstel. Dit beteken dat waar die verweerder professionele dienste verskaf, hy ’n regsplig het om nie suiwer finansiële verlies vir andere te veroorsaak nie (sien Neethling en Potgieter 2020:353; vgl. Zitzke 2024:156–7; Scott 2025:275). Hierdie faktor kan in casu dus aanduidend daarvan wees dat die verweerder ’n regsplig gehad het om stappe te doen ten einde die eiseres se verlies te voorkom.

4.2 Slot

Alhoewel die Regspraktyksraad sekerlik verlig is oor die uitkoms van die beslissing van die Hoogste Hof van Appèl, wys Scott (2025:275) tereg daarop dat elke toekomstige saak van die betrokke feite sal afhang en dat die gedrag van albei partye oorweeg moet word ten einde aanspreeklikheid te bepaal. Indien die aangeleentheid voor die Konstitusionele Hof sou dien, word daar vertrou dat die hof hierdie benadering sou volg.

Bibliografie

Boberg, P.Q.R. 1984. The law of delict: Volume I – Aquilian liability. Kaapstad: Juta.

Fagan, A. 2018. Undoing delict: The South African law of delict under the Constitution. Claremont: Juta.

—. 2019. Aquilian liability in the South African law of delict. Claremont: Juta.

Loubser, M. en J.R. Midgley (reds.). 2017. The law of delict in South Africa. 3de uitgawe. Kaapstad: Oxford University Press.

Neethling, J. 2015. Aanspreeklikheid weens ’n late: Versoening tussen die tradisionele en nuwe toets vir deliktuele onregmatigheid, of nie? LitNet Akademies, 12(3):810–22.

Neethling, J. en J.M. Potgieter. 2018. Foreseeability: wrongfulness and negligence of omissions in delict – the debate goes on. Tydskrif vir Regswetenskap, 43(1):145−61.

—. 2020. Law of delict. 8ste uitgawe. Durban: LexisNexis.

Scott, J. 2023. ’n Ernstige waarskuwing aan prokureursfirmas wat elektroniese betalings vir hulle kliënte fasiliteer. Tydskrif vir Hedendaagse Romeins-Hollandse Reg, 86(4):473−90.

—. 2025. Delictual liability for pure economic loss – the Supreme Court of Appeal in downshifter mode. Tydskrif vir Hedendaagse Romeins-Hollandse Reg, 88(2):263−75.

Van der Walt, J.C. en J.R. Midgley. 2016. Principles of delict. 4de uitgawe. Durban: LexisNexis.

Zitzke, E. 2024. Email hackers, conveyancers and pure economic loss. Tydskrif vir die Suid-Afrikaanse Reg, 25(1):145−61.

• Hierdie artikel se fokusprent is geskep deur Antoni Shkraba Studio en is verkry op Pexels.