Cryptoplatform Coin Meester verplicht tot schadevergoeding na diefstal digiwallet van gebruiker

Rechtbank Amsterdam 8 september 2023, IT 4371; 10315389 (Eiser tegen Coin Meester) Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd. Eiser stelt het beleggingsplatform aansprakelijk wegens de geleden schade. Eiser legt hieraan ten grondslag dat Coin Meester wegens hun overeenkomst tot opdracht verplicht is de crypto’s voor eiser te bewaren en alleen bevoegd is deze te verkopen indien zij van eiser hiertoe de opdracht krijgt. Daarnaast stelt eiser dat Coin Meester een bijzondere zorgplicht heeft jegens de gebruikers van het platform en verplicht is haar diensten zo goed mogelijk te beveiligen. Coin Meester heeft hierin tekortgeschoten door als voorgestelde beveiligingsoptie de mogelijkheid van identificatie per e-mail te gebruiken, welke niet ongevoelig voor misbruik van hackers is. Coin Meester verweert zich door te stellen dat zij geen overeenkomst tot opdracht zijn aangegaan, maar een gebruiksovereenkomst. Daarnaast stelt Coin Meester dat zij voldaan heeft aan haar beveiligingsverplichting doordat zij twee veilige manieren om in te loggen heeft gefaciliteerd. Het e-mailadres van eiser is verschillende keren betrokken geweest bij datalekken en eiser heeft geen gebruik gemaakt van de Google Authenticator, waardoor Coin Meester stelt dat sprake is van eigen schuld van de eiser dat het account niet goed genoeg beveiligd is.

De verweren van Coin Meester houden geen stand. De rechtbank oordeelt dat de bepalingen inzake de overeenkomst tot opdracht van toepassing zijn, omdat de overeenkomst voldoet aan de beschrijving hiervan in art. 7:400 BW. De rechtbank oordeelt dat de belangrijkste prestatie waartoe Coin Meester is verbonden, gelegen is in het bewaren, inwisselen en verkopen van crypto’s enkel in opdracht van eiser. Coin Meester is daarin tekortgeschoten, doordat de crypto’s onbevoegd door de hackers zijn verkocht en naar een externe bankrekening zijn overgedragen. Uit niets blijkt dat eiser onvoldoende maatregelen heeft getroffen om zijn e-mailaccount te beveiligen, hoewel het niet gebruiken van de mogelijkheid om in te loggen met de Google Authenticator wel aan te merken valt als eigen schuld. Voor de beoordeling van de mate van eigen schuld houdt de kantonrechter rekening met de aard van de dienstverlening en de deskundigheid van Coin Meester. Hierbij komt betekenis toe aan de regels voor betalingstransacties in boek 7b van boek 7 BW, omdat de dienstverlening van Coin Meester grote gelijkenis vertoont met betalingstransacties die onder reikwijdte van deze regelgeving vallen. Coin Meester wordt daarom door de rechter veroordeeld in 90% van de door eiser geleden schade te betalen.

4.6. Partijen hebben zich vooral uitgelaten over de vraag of Coin Meester met het aanbieden van de mogelijkheid om per e-mail in te loggen tekort is geschoten in de nakoming van een jegens in acht te nemen zorgverplichting. Uit artikel 2.2 nr.25 en artikel 9. 2. van de algemene voorwaarden van CoinMeester, die hiervoor in rechtsoverweging 2.3 zijn geciteerd, blijkt dat zij jegens [eiser] verplicht is om de gelden en crypto's die [eiser] ter beschikking heeft gesteld te bewaren voor [eiser] en de crypto's volgens opdracht van in te wisselen of te verkopen. Het gaat hierbij om de belangrijkste prestatie van Coin Meester, waarmee zij zich tot het bereiken van een resultaat heeft verbonden. Bij de uitvoering van de aan haar gegeven opdracht moet Coin Meester verder op grond van artikel 7:401BW de zorg van een goed opdrachtnemer in acht nemen.

Tussen partijen staat vast dat de verkoop van de crypto's en de daarop volgende overdracht van de Bitcoins naar een externe Bitcoinrekening door Coin Meester is uitgevoerd vanwege opdrachten die door de hackers zijn gegeven. Deze hackers traden daarbij niet op namens eiser. De onbevoegde verkoop van crypto's van en de daaropvolgende overdracht van de Bitcoins naar een externe Bitcoinrekening betekenen reeds dat Coin Meester is tekortgeschoten in de nakoming van haar verplichting om de crypto's voor [eiser] te bewaren en alleen te verkopen indien zij daarvoor van [eiser] opdracht heeft gekregen. De vraag of het aanbieden van de mogelijkheid om in te loggen per e-mail op zichzelf een tekortkoming oplevert van Coin Meester in de nakoming van haar verplichting jegens [eiser] behoeft daarom geen bespreking.