Geen tekortkoming in zorgplicht bij verlies cryptovaluta na hack klantaccount

Rb. Amsterdam 18 oktober 2024, IT 4711; ECLI:NL:RBAMS:2024:6485 (Eiser tegen Coin Meester B.V.). Coin Meester exploiteert een website voor de handel in cryptovaluta. Eiser verloor €15.818 aan cryptovaluta nadat zijn account via een wachtwoord-reset werd gehackt. Eiser vorderde schadevergoeding van Coin Meester, stellende dat zij tekort was geschoten in haar zorgplicht door onvoldoende beveiligingsmaatregelen te treffen. Coin Meester betwistte dit en voerde aan dat zij voldoende veiligheidsmaatregelen had genomen, waaronder het verplicht stellen van tweestapsverificatie (2FA) bij registratie, en dat zij klanten expliciet had gewezen op de veiligheidsvoordelen van Google Authenticator (GA) boven 2FA via e-mail. De rechtbank kwalificeert de rechtsverhouding tussen partijen als een overeenkomst van opdracht (artikel 7:400 BW) en oordeelt dat Coin Meester heeft voldaan aan de zorgplicht van een redelijk bekwaam en handelend opdrachtnemer. Coin Meester stelde 2FA verplicht, informeerde haar klanten uitgebreid over het gebruik van GA en de bijbehorende veiligheidsvoordelen, en handelde conform de destijds gangbare beveiligingsstandaarden. Verder oordeelt de rechtbank dat Coin Meester geen aanleiding had om aan te nemen dat het account van eiser was gehackt op het moment van de transacties. Het wijzigen van het wachtwoord en de overboeking van cryptovaluta naar een externe wallet zijn immers gebruikelijke handelingen in de cryptovalutahandel. Coin Meester had bovendien geen verplichting om externe wallets te verifiëren of accounts automatisch te blokkeren bij een wachtwoordwijziging, tenzij er concrete aanwijzingen van misbruik waren. De rechtbank acht Coin Meester niet aansprakelijk voor het verlies van de cryptovaluta. Om die reden wordt de vordering tot schadevergoeding afgewezen.

4.2 De kantonrechter oordeelt dat de rechtsverhouding tussen Coin Meester en [eiser] kwalificeert als een overeenkomst van opdracht zoals bedoeld in artikel 7:400 BW. Ter toelichting geldt het volgende. Coin Meester heeft tijdens de mondelinge behandeling de feitelijke gang van zaken toegelicht bij het tot stand komen van aan- dan wel verkooptransacties via haar platform (in 2021). Daaruit volgt dat Coin Meester niet kan kiezen of zij de door een kant aangeboden of verzochte crypto’s koopt respectievelijke verkoopt. Na het tonen van de geldende prijs voor de door de klant gewenste transactie is het slechts aan de klant die te accepteren waarna Coin Meester gehouden is die transactie tot stand te brengen. Het is dus de klant – [eiser] – die bepaalde verrichtingen aan Coin Meester opdraagt. Dit is kenmerkend voor een overeenkomst van opdracht in de zin van artikel 7:400 BW. Dat Coin Meester bij die transacties ook zelf optreedt als koper dan wel verkoper van de crypto’s en – voor zover die rol van Coin Meester al kenbaar was voor [eiser] – er ook elementen van koop in hun onderlinge rechtsverhouding een rol spelen, doet daaraan niet af (HR 13 juli 2012, ECLI:NL:HR:BW4989). Dat geldt ook voor het feit dat de software en het platform van Coin Meester bij deze handelingen werd gebruikt. Gelet op het voorgaande zijn de bepalingen van artikel 7:400 BW en verder van toepassing op de tussen partijen tot stand gekomen overeenkomst.

4.6.5 Naar het oordeel van de kantonrechter is het feit dat eerst het wachtwoord van het account van [eiser] werd gewijzigd en dat de crypto’s uit zijn account vervolgens allemaal werden verkocht aan een koper met een externe wallet terwijl [eiser] tot dan toe nog nooit crypto’s had verkocht, ook als dit in samenhang wordt bezien, niet voldoende om te kunnen vast stellen dat Coin Meester subjectieve wetenschap had van onrechtmatig gebruik van het account van [eiser] . Coin Meester heeft in dit verband ook onbetwist toegelicht dat een verzoek tot het wijzigen van het wachtwoord, via de wachtwoord vergeten procedure, regelmatig om legitieme redenen voorkomt en dat de handelwijze bovendien past in het beeld van iemand die het platform een tijdje heeft uitgeprobeerd maar toch de overstap wenst te maken naar een ander platform, hetgeen [eiser] uiteindelijk ook heeft gedaan. Daarnaast heeft [eiser] onvoldoende toegelicht waarom het gebruik van een externe wallet door de ontvangende partij tot argwaan had moeten leiden, terwijl dat volgens Coin Meester een gebruikelijke gang van zaken is bij de handel in cryptovaluta. Deze omstandigheden kunnen dan ook niet tot het oordeel leiden dat Coin Meester gehouden was om het account van [eiser] te blokkeren, nog daargelaten dat de gewraakte transacties, die in een tijdsbestek van enkele minuten zijn verricht, daarmee niet waren voorkomen of waren terug te draaien.