Kun je aansprakelijk gesteld worden voor bitcoindiefstal door je kinderen?

Een Amerikaan heeft de dieven van 16 bitcoins (destijds 2 ton in Euro’s) gevonden en klaagt nu hun ouders aan, zo meldde Krebs on Security onlangs. De man stak veel tijd in het opsporen van de bitcoindieven, maar wist met het nodige forensisch onderzoek te achterhalen dat twee Britse -destijds- minderjarigen de cryptomunten naar zich toe hadden weten te krijgen. Omdat de ouders niet reageerden op zijn verzoek tot terugbetaling, gaat hij nu over tot een civiele rechtszaak. Wat de vader van een “crypto hackende” dochter me bezorgd deed vragen: loop ik ook dat risico?

Even voor de duidelijkheid, het gaat hier dus niet om aangifte of strafvervolging tegen minderjarigen. Dat kan (in Nederland vanaf 12 jaar) maar dat zou een beslissing van het OM zijn. Het gaat hier om een civiele of burgerlijke zaak: ik heb schade geleden door uw kind, ik wil graag even afrekenen. En nee, dit is geen verzekeringswerk.

De truc die de twee gebruikt zouden hebben, was een crypto wallet app met een achterdeur: wanneer je een bitcoinadres kopieerde naar het Klembord, werd dit vervangen door een sterk gelijkend adres dat beheerd werd door de dieven. Je plakt dat dan in het walletprogramma en alles lijkt te kloppen, maar je geld ben je dus kwijt. Dit is een van de vele vormen van malware, diefstal en oplichting waar cryptogebruikers mee te maken hebben.

De man gooide er flink wat onderzoekscapaciteit tegenaan maar wist ze te vinden;

[The claimant’s] lawsuit lays out how his investigators traced the stolen funds through cryptocurrency exchanges and on to the two youths in the United Kingdom. In addition, they found one of the defendants — just hours after [his] bitcoin was stolen — had posted a message to GitHub asking for help accessing the private key corresponding to the public key of the bitcoin address used by the clipboard-stealing malware.
De leeftijd van de twee wordt niet gegeven, maar het speelde in 2018 en de twee studeren nu aan de universiteit, dus het zal niet om copypastende tienjarigen zijn gegaan. Dat is van belang, want aansprakelijkheid van ouders voor handelen van kinderen ligt een tikje ingewikkeld.

In Nederland trekken we een grens bij veertien jaar. Als een kind van onder die leeftijd iets onrechtmatigs doet, zijn de ouders daarvoor aansprakelijk. (Met als randvoorwaarde dat de vraag wel eerst is of het kind aansprakelijk zou zijn geweest als het meerderjarig was.) Ik heb geen twijfel dat het verspreiden van bitcoinstelende malware onrechtmatig is, of je dat nou doet “voor de lolz” of omdat je nieuwe fidget spinners wilt komen. Dus als die malwarecopypastende tienjarige inderdaad twee ton aan bitcoins had gestolen, dan zijn de ouders aansprakelijk.

Het andere makkelijke geval is de leeftijd zestien tot achttien, dan is alleen het kind aansprakelijk. Het doet er dan niet toe of het kind geen geld heeft en de ouders miljonair zijn. In theorie zouden de ouders aansprakelijk gehouden kunnen worden als blijkt dat ze hun ouderlijke zorgplicht hebben geschonden, maar dat is niet hetzelfde als “je kind stal mijn bitcoins en woonde bij jou thuis”. Het moet dan op zichzelf onrechtmatig zijn geweest dat de ouders niet ingrepen.

Vanaf achttien jaar is het kind meerderjarig en dus geheel als enige aansprakelijk voor zijn of haar fouten. Ook als het kind nog thuis woont en ook als de ouders alles betalen. Er is natuurlijk een ouderlijke zorgplicht tot 21 jaar, maar die betreft levensonderhoud en zorg en niet onrechtmatig handelen.

Als het kind veertien is (maar nog geen zestien) dan ligt het ingewikkelder, en dat komt met name omdat de wet een draak van een taalconstructie hanteert hiervoor:

Voor schade, aan een derde toegebracht door een fout van een kind dat de leeftijd van veertien jaren al wel maar die van zestien jaren nog niet heeft bereikt, is degene die het ouderlijk gezag of de voogdij over het kind uitoefent, aansprakelijk, tenzij hem niet kan worden verweten dat hij de gedraging van het kind niet heeft belet.
Het gaat hier dus om de vraag of je als ouder had moeten ingrijpen. Als je dat niet deed, en dat kan jou worden verweten (de “kom op nou”-toets) dan ben je dus aansprakelijk voor de fouten van je kind. Natuurlijk wederom met de voorvraag of het überhaupt een fout was, wat je kind deed.

In 2009 blogde ik over de ouders van een vijftienjarige die aansprakelijk werden gehouden voor een auteursrechtclaim: de jongen had een fotootje van Cruijff op zijn website gezet en de ouders moesten daarvoor betalen, aldus de fotograaf.  De rechter zag geen reden om aan te nemen dat de ouders hadden moeten ingrijpen:

Het gaat kennelijk om een handige jongen – zoals zoveel kinderen tegenwoordig zeer handig zijn in het omgaan met internet en alles wat met computers te maken heeft – die op deze wijze zijn liefhebberij mede vorm geeft. Dat is tegenwoordig niets bijzonders. Er zijn veel kinderen van (ongeveer) deze leeftijd die een website hebben. Het onderwerp van de site -voetbal- is onschuldig: volstrekt normaal voor een jongen van 15 jaar.
Een verschil met deze zaak zou dus zijn dat het onderwerp van de online activiteit iets minder onschuldig was. Je zou bij rare dingen van je puber eerder geacht worden een en ander te controleren: wat voor rare apps bouw jij, wat zit jij op dat giethub en hoe kom je aan al dat geld voor je nieuwe sneakers?

Met name het moment dat er bizar veel geld in bezit blijkt, zou voor mij het moment zijn dat je als ouders in moet gaan grijpen. De bestolen man uit het Krebs-artikel hanteert als primair argument dat hij de ouders had geïnformeerd en dat ze daarom aansprakelijk zijn omdat ze niets deden om het ongedaan te maken. Dat is in Nederland geen rechtsgeldig argument – het gaat immers om informeren over een reeds gepleegde onrechtmatige daad.

Een slachtoffer van na die brief zou er wellicht wel wat mee kunnen: je wist dat meneer A bestolen was door je zoon, je deed niets en daarna werd ik óók bestolen, dat kan jou dus worden verweten. Blijf je zitten met het feit dat de kinderen in het Verenigd Koninkrijk zitten en de bestolene in Colorado, USA, maar dat thema hebben we al een paar keer recent gehad op deze blog.

Arnoud

9 reacties

  1. Je zou bij rare dingen van je puber eerder geacht worden een en ander te controleren: wat voor rare apps bouw jij, wat zit jij op dat giethub en hoe kom je aan al dat geld voor je nieuwe sneakers?

    Tja..op die leeftijd kunnen ze makkelijk bezig zijn met programmeren en apps bouwen, en als je dat doet is op github rondhangen helemaal niet raar, en als ze dan een app laten zien die ze gemaakt hebben kan dat prima verklaren waarom ze ineens geld voor nieuwe sneakers hebben. Hoe zou je in vredesnaam als “normale” ouder moeten constateren dat ze malware aan het bouwen zijn in plaats van.. nou ja, de nieuwe Displeased Poultry of Sweets Squish.

  2. Ik heb geen twijfel dat het verspreiden van bitcoinstelende malware onrechtmatig is, of je dat nou doet “voor de lolz” of omdat je nieuwe fidget spinners wilt komen.

    Maar wil dat meteen zeggen dat die kinderen (of hun ouders) aansprakelijk zijn voor de volledige schade.?

    Uiteindelijk heeft die meneer zelf niet goed opgelet en zijn geld naar een onbedoeld wallet adres gestuurd. Als je 200 000 € verstuurt, mag je wel een beetje aandacht verwachten dat dat naar de juiste wallet gaat. Hij had niet hoeven copy-pasten en dan slecht checken, hij had het adres ook gewoon kunnen overtypen vanuit een zekere bron.

    En uiteindelijk heeft hij ook zelf een besmette crypto wallet app gedownload. Waarom geen cryptowallet van een betrouwbare bron? Waarom geen fatsoenlijke malware scanner?

    Dit is niet ‘blame the victim’, maar twee ton! Kom op, dat doe je toch niet met een of andere dubieuze app en zonder driedubbel te checken dat alles goed is?

    1. Om eerlijk te zijn, als ik de achtergrond van deze zaak lees, is de gebouwde app doelbewust gebouwd om gebruikers te misleiden. Men kopieerde een legitiem adres, welke via een truc werd aangepast in een ander sterk gelijkend adres. Niet een lukraak ander adres, maar sterk gelijkend adres (wat dus ook maakt dat je bij controle mogelijk een cijfertje mist). Juist een functie als knippen-en-plakken gebruik je om juist typfouten en dergelijke uit te sluiten. In principe werkt die functie ook gewoon goed, zodat je er eigenlijk wel op mag vertrouwen. Het is juist de malware die het onbetrouwbaar maakt.

      Met welke reden zou je dan de daders weg laten komen met het betalen van MINDER dan de volledige schade? Elke euro/dollar/bitcoin die ze met hun handelen hebben verdiend, hoort gewoon weer terug te gaan naar de slachtoffers.Bij oplichting op Marktplaats waar je een loeidure telefoon voor een habbekrats kan kopen, mag je het slachtoffer wel onoplettendheid (of boter op het hoofd) verwijten, maar om in deze het slachtoffer te verwijten dat hij beter had moeten weten gaat m.i. te ver. Overigens hoort ook die Marktplaats oplichter gewoon elke euro aan schade terug te betalen, maar dat terzijde…

      1. Nu ja, ik zeg ook niet dat die knapen (of meiden??) niets moeten vergoeden, maar er zit toch wel een element van onvoorzichtigheid in, zeker als je er rekening mee houdt dat het twee ton (!!) was.

        Ik weet wel dat ze hun best hebben gedaan om de verschillen klein te maken, maar als je twee ton overboekt…. Ik denk dat ik tiendubbel zou checken of alles klopt.

        Als je dan ook nog een niet-mainstream wallet-app gebruikt (ik neem aan dat het niet mainstream was, anders waren er wel veel meer slachtoffers geweest), dan zoek je het risico ook wel een beetje op.

        Naar mijn smaak zou een matiging van 25-30% niet onredelijk zijn (zeker als het bijvoorbeeld gaat over de schade door de misgelopen waardestijging van BTC)

        1. De wet kent natuurlijk het concept eigen schuld, wat tot matiging leidt. Het stuit me hier echter toch tegen de borst, dat je dan 25% mag houden omdat je slachtoffer erg dom is.

          Eigen schuld is voor mij voor situaties waarbij er schade is bij beiden, zoals bij verkeersongevallen of een slecht geformuleerde en slecht uitgevoerde opdracht. Maar hier verrijkt de ene partij zich ten koste van de andere, dat voelt wezenlijk onvergelijkbaar met een ongeval.

          1. Daar heb je wel gelijk in. Mijn hoofdpunt was dat het slachtoffer, naar mijn inschatting, zelf ook wel een beetje 0nvoorzichtig is geweest. Maar inderdaad, dat wil nog niet zeggen dat de daders een deel mogen houden.

  3. ” […] tenzij hem niet kan worden verweten dat hij de gedraging van het kind niet heeft belet.”

    Inderdaad een draak, want drie keer ‘niet’, omdat ’tenzij’ betekent ‘in het geval dat niet’. Als ik het zo bekijk, snap ik er niks meer van, maar als ik de zin twee keer lees en niet nadenk over taal, maar over het leven, dan is het eigenlijk helemaal duidelijk en redelijk wat er staat.

  4. Wanneer het over kinderen gaat dan denk ik ook vaak aan volwassen mensen met een lichte of matige verstandelijke beperking. Deze personen hebben een IQ tussen de 35 en de 70 en opereren vergelijkbaar met kinderen tussen de 7 en 11 jaar oud. Toch kunnen deze personen vaak wel een computer gebruiken en hoewel ze misschien niet snel zelf zullen gaan hacken kan iemand in hun omgeving hen daar wel toe aanzetten…

    Maar wie is er dan verantwoordelijk als iemand met een verstandelijke beperking een enorm bedrag aan bitcoins weet te jatten?

    1. Mensen met een verstandelijke beperking staan veelal onder bewind (of iets vergelijkbaars) en hebben een curator, bewindvoerder en/of mentor die hun zaken waarneemt omdat ze zelf niet bekwaam zijn om over hun bezittingen te beschikken. Dit betekent niet dat de bewindvoerder ook persoonlijk aansprakelijk is, maar de instelling waar de gehandicapte verblijft kan mogelijk wel aansprakelijk gesteld worden voor de schade als blijkt dat ze onvoldoende toezicht gehouden hebben.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.