Cryptoplatform Bitcoin Meester moet een klant van wie het account werd gekaapt duizenden euro's vergoeden, zo heeft de rechtbank Amsterdam geoordeeld. De klant had begin 2021 een account op het cryptoplatform aangemaakt, waar hij via e-mailadres en wachtwoord op inlogde. Bitcoin Meester biedt klanten ook de optie om via de Google Authenticator op de smartphone in te loggen.

Nadat de klant zijn account had aangemaakt stuurde Bitcoin Meester hem een e-mail dat de beveiliging van zijn account beter kon en adviseerde het instellen van de Google Authenticator. "Wanneer iemand uw e-mailaccount in handen heeft kan deze persoon niet bij uw Bitcoin Meester account komen zonder toegang te hebben tot uw telefoon en de authenticator code." Elke keer dat de klant inlogde stuurde Bitcoin Meester hem een e-mail met het advies om Google Authenticator te gebruiken, omdat dat een veiligere en snellere optie zou zijn.

Vorig jaar mei wisten criminelen toegang te krijgen tot het e-mailaccount van de klant en voerden een wachtwoordreset bij Bitcoin Meester uit. Op deze manier kregen ze toegang tot dit account en gaven Bitcoin Meester de opdracht om de cryptovaluta van de klant om te zetten naar bitcoin en vervolgens naar een opgegeven wallet over te maken. De waarde van de cryptovaluta van de klant bedroeg op dat moment 4200 euro.

Algemene voorwaarden

De klant eiste een schadevergoeding van 17.000 euro van Bitcoin Meester, omdat het bedrijf zijn zorgplicht zou hebben geschonden. Bitcoin Meester stelt in de algemene voorwaarden niet aansprakelijk te zijn voor schade als gevolg van hacking. Daarnaast zegt het cryptoplatform dat de schuld bij de klant ligt, die mogelijk onvoldoende maatregelen heeft genomen om zijn e-mailaccount te beveiligen. Zijn e-mailaccount is bij meerdere datalekken betrokken geweest.

Volgens de rechtbank is niet gebleken dat de klant onvoldoende maatregelen heeft genomen om zijn e-mailaccount te beveiligen. Het staat ook niet vast dat de klant van de datalekken op de hoogte was of behoorde te zijn. Door toch de mogelijkheid te bieden om in te loggen met een e-mailadres dat - ook zonder de schuld van de klant bij een datalek betrokken kan zijn, heeft Bitcoin Meester het risico laten bestaan dat onbevoegden in naam van de getroffen klant frauduleuze transacties zouden kunnen uitvoeren, aldus de rechtbank.

Voor de mate waarin sprake is van eigen schuld van de klant houdt de rechter rekening met de aard van de dienstverlening door Bitcoin Meester, die erg veel lijkt op het uitvoeren van betalingstransacties. Betaaldienstverleners zijn wettelijk verplicht om in te staan voor de veiligheid van betalingstransacties. Daarnaast speelt mee dat Bitcoin Meester een deskundige partij is en de klant een consument.

Verantwoordelijkheid

De rechter nam dan ook als uitgangspunt dat het de verantwoordelijkheid van Bitcoin Meester is om haar klanten te beschermen tegen frauderisico’s. "Het ligt daarom op haar weg om te zorgen voor een veilige uitvoering van opdrachten van [eiser] om zijn crypto’s te bewaren, te verkopen of over te dragen. De verantwoordelijkheid van [eiser] speelt een daaraan ondergeschikte rol. De schade van [eiser] komt daarom vanwege zijn onvoorzichtigheid voor 10% voor zijn rekening."

Verder stelt de rechter dat Bitcoin Meester geen beroep kan doen op algemene voorwaarde dat het niet aansprakelijk kan worden gesteld voor schade door hacking. De voorwaarde verstoort namelijk het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van Bitcoin Meester en de klant, in het nadeel van die klant. De rechter oordeelt dan ook dat het cryptoplatform de schade moet vergoeden, maar gaat niet mee in de eis van de klant. De schadevergoeding wordt uiteindelijk vastgesteld op 3800 euro. Daarnaast moet Bitcoin Meester de proceskosten betalen.