Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd, las ik bij ITenRecht. Oftewel: wat is de zorgplicht van een cryptoplatform, met name op het gebied van security? Had het platform specifiek moeten afdwingen dat tweefactorauthenticatie werd gebruikt?
De eerste vraag bij ICT-diensten is altijd: wat gebeurt hier juridisch nu precies. De klant stelde dat sprake was van een overeenkomst van opdracht, wat in principe bij 95% van de gevallen het juiste antwoord is. Coin Meester wees erop dat klanten akkoord gaan met een “gebruikersovereenkomst”. Wat dat precies zou moeten impliceren weet ik ook niet, en de rechter komt dan ook direct tot de conclusie dat het inderdaad een opdracht is.
Dat is van belang, want bij opdracht hoort een zorgplicht. Hier komt dat neer op een securityniveaudiscussie: had Coin Meester ervoor moeten zorgen dat je alleen met tweefactorauthenticatie kon inloggen, of was toelaten van enkel emailadres en wachtwoord op zich wel adequaat geweest?
Coin Meester bood allebei als keuzemogelijkheid, zij het met waarschuwingsmailtjes als je 2FA niet had aangezet. Dat is echter geen factor bij de vraag of je adequaat je best had gedaan; het enkele feit dat een crimineel toegang kreeg tot het account, maakt dat sprake is van een tekortkoming. De vervolgvraag is of Coin Meester dat verweten kan worden (toerekenbaarheid) en of wellicht sprake is van eigen schuld waardoor de schadevergoeding omlaag mag.
De kantonrechter legt bij Coin Meester een zware verantwoordelijkheid, omdat zij een professioneel gespecialiseerd bedrijf is en bovendien Wft-geregistreerd, hoewel niet als een ‘echte’ betaaldienst. Als professional moet je weten dat er criminelen binnen kunnen komen als je die zwakke beveiliging zonder 2FA hanteert. Het is dan een risico om die situatie te laten bestaan, en dat maakt dat de tekortkoming toerekenbaar is aan Coin Meester.
De keuzes van de consument spelen een beperkte rol, mede vanwege de wettelijke eisen voor betaaldiensten die laten zien dat de wetgever eigenlijk de consument toch best wel wil beschermen. Daarom hoeft de consument slechts 10% van de schade als eigen schuld (het niet instellen van 2FA terwijl dat wel kon) te dragen.
De rechter verwijst de uitsluiting van aansprakelijkheid snel naar de prullenbak, met een redenering die ik niet vaak gezien heb: op grond van Europese regels zijn bedingen verboden die de rechten van consumenten op oneerlijke wijze uitsluiten of beperken. Dit is de blauwe lijst, die meestal wordt gebruikt om boetebedingen te matigen.
De rechter gaat hier een stapje verder: de beperking van aansprakelijkheid sluit het recht op schadevergoeding volledig uit en daar is geen goede reden voor, dus is de hele exoneratie nietig. In dit concrete geval een te begrijpen uitkomst, het bewaren van de bitcoins is zeg maar de kern van de dienstverlening en het niet op orde hebben van security dus een kern-tekortkoming. Maar de rechter gaat niet in op waarom er dan geen goede reden is; het is toch vrij gebruikelijk om bij consumentendiensten je aansprakelijkheid in enige mate te mogen beperken.
Arnoud
Als ik zo het vonnis lees dan blijkt het dat het emailaccount van de gebruiker gehackt is, niet het account bij Coin Meester.
Het verlies van de crypto’s by Coin Meester is gevolgschade.
In dat licht vind ik de uitspraak wel wat bijzonder. Coin Meester heeft eigenlijk niets misgedaan en heeft zich niet laten hacken, en moet nu toch voor schade opdraaien.
Nou ja, ze hebben wél iets fout gedaan: ze hebben willens en wetens een bekende zwakke inlogmethode (alleen wachtwoord, geen 2FA) laten bestaan. Dat zou je schending van je zorgplicht kunnen noemen.
En dat doet de rechter dan ook.
Ik vind het, in real life, een beetje vergelijkbaar met dat de sleutel van je kluisje bij de bank door iemand gestolen is uit je huis, en dan je bankkluisje wordt leeggemaakt. Heel erg natuurlijk, maar niet verwijtbaar aan de bank. Dat is een eigenschap van het systeem, een risico dat je als klant geaccepteerd hebt.
Naar mijn rechtsgevoel heeft Coin Meesters hier alles gedaan wat redelijkerwijs gevraagd kon worden, zeker gezien de herhaalde waarschuwingen aan de klant. Je moet immers ook een balans zoeken tussen veiligheid en gebruiksgemak.
Er is wel iets voor te zeggen dat veiligheid bij dergelijke dienstverleners iets boven gebruiksvriendelijkheid zou moeten gaan (en 2FA dus afgedwongen zou moeten worden). Latern we wel wezen: zo complex is 2FA niet.
Aan de andere kant is de gebruiker ook wel een beetje dom om kennelijk geen 2FA op zijn mailaccount te activeren; zonder is op die manier is na toegang zo’n beetje elk wachtwoord te resetten.
Niet de sleutel is gestolen, maar iemand heeft tegen de bank gezegd dat de sleutel gestolen/vermist is en heeft de nieuwe sleutel uit je postbus gevist/de post onderschept. En ja, dan is imho de bank ook aansprakelijk te stellen. Waarom eisen ze dan geen identificatie bij het ophalen van een nieuwe sleutel etc.
Nee, dat is een analogie die niet klopt.
In dit geval (dat maak ik toch op uit het vonnis) hebben anderen toegang gekregen tot het emailaccount. Een emailaccount is normaal gesproken relatief goed beveiligd (kan volgens mij ook met 2FA), in zekere zin zo goed als de gebruiker wenst.
Net zoals dat het geval is bij een huis. Daar kun je zoveel sloten met complexe sleutels opzetten als je wilt, jouw keuze.
Iemand heeft een nieuwe sleutel aangevraagd en die is afgeleverd in een omgeving die de klant gespecifieerd en ingericht heeft en waarvan het beveilingsniveau bepaald is door de klant. Meer is er niet over te zeggen.
“Eigenschap van het systeem” of nalatige keuze? Stel die sleutels zijn dertien-in-dozijn bij de bouwmarkt te krijgen (en dus triviaal na te maken, want daar verkopen ze maar 999 modellen). Dan zou je toch zeggen, bank hoe haal je het in je hoofd om dát bij kluisjes te gebruiken.
Ik vind het te makkelijk om te wijzen op waarschuwingen. Als het zo belangrijk is dat de klant op 2FA moet gaan zitten, dan zet je de klant op 2FA.
Die sleutels zijn van een complexiteit de klant zelf bepaald heeft, dat kun je Coin Meester niet verwijten.
En ik kan me heel goed voorstellen dat zowel Coin Meester als vele van hun klanten de terechte gedachte hebben dat als het om geringe bedragen gaat, een basisbeveiliging genoeg is vanwege het gemak, en als het om grotere bedragen gaat, de 2FA zeer wenselijk is, en dat ze daarom de klant de keuze uit beide bieden.
Dan kan de klant, afhankelijk van hoe belangrijk het bedrag voor hem is, zelf kiezen uit basisbeveiliging of 2FA
Het feit dat hij geen 2FA gekozen heeft, ondanks vele waarschuwingen, zie ik dan als een teken dat hij het bedrag niet als significant genoeg beschouwde om werk te maken van beveiliging.
Je gaat toch niet een bedrag dat voor jou significant is, stallen bij een partij die zegt ‘je beveiliging is ondermaats, doe daar iets aan!’? Dat doe je alleen met (voor jou) kleine bedragen.
Is hacken niet de populaire term voor het juridische computervredebreuk? Dan zou ik zeggen dat het crypto-account óók gehackt is.
Bij mij niet. Bij mij is dat als je de technische beveiliging van dat platform hebt weten te kraken (en normaal gesproken dan toegang hebt tot de gegevens van meerdere gebruikers).
Degene die de inloggegevens van de echte gebruiker heeft, hackt niet (maar kan nog best illegaal bezig zijn). Maar goed, dat is zoals ik het woord ‘hacken’ begrijp/gebruik. Anderen kunnen dat anders zien.
Is het jezelf met andermans inloggegevens (door deze te wijzigen) toegang verschaffen niet het opzettelijk en wederrechtelijk binnendringen door het aannemen van een valse hoedanigheid (het account van een ander)?
Artikel 138ab Sr:
Ja,
Maar ik zie alleen a,b,en misschien c, als ‘hacken’. d is geen hacken. Hacken vereist (voor mij toch) dat er middelen gebruikt worden om binnen te komen die door een normale gebruiker niet gebruikt worden. Een ‘slimmigheidje’ of ‘brute kracht’.
Hacken vereist een technische of intellectuele prestatie (die ten kwade gebruikt wordt, don’t get me wrong) die de capaciteiten van de gemiddelde gebruiker te boven gaat, anders is het geen hacken.
Bij overeenkomsten met consumenten geldt dat het uitsluiten van aansprakelijk vermoedelijk onredelijk bezwarend is (art. 6:237 sub f BW). Dat brengt met zich mee dat er de gebruiker van algemene voorwaarden (i) hetzij moet aantonen dat het exoneratiebeding geen aanzienlijke verstoring van het evenwicht tussen de rechten en plichten van partijen veroorzaakt; (ii) hetzij moet aantonen dat zij er redelijkerwijs vanuit kon gaan dat de consument het betrokken exoneratiebeding zou aanvaarden indien daarover op eerlijke en billijke wijze afzonderlijk was onderhandeld (HvJ-EU 14 maart 2013, Aziz, C415/11, EU:C:2013:164).