Coin Meester, het bedrijf achter cryptoplatform BCM, hoeft een klant van wie vijf jaar geleden dertigduizend euro aan crypto werd gestolen niet te vergoeden, omdat er geen contractuele beveiligingsafspraken zijn gemaakt en de gehanteerde beveiliging voldeed aan wat in redelijkheid van het bedrijf kon worden verlangd, zo heeft de kantonrechter van de rechtbank Amsterdam geoordeeld.

In de nacht van 22 januari 2020 werden vijf transacties ter waarde van dertigduizend euro uitgevoerd. De klant meldde dit bij Coin Meester, dat liet weten dat er geen 'sporen van hacking' waren vastgesteld, de cryptovaluta niet terug was te halen en er geen reden was om de klant te vergoeden. Daarop startte de klant een zaak tegen Coin Meester en eiste 25.000 euro. Volgens de klant had Coin Meester zijn cryptovaluta onvoldoende beveiligd en daarmee een zorgplicht geschonden die hoort bij de overeenkomst tussen beide partijen.

De cryptovaluta was bij aankoop 64.000 euro waard, op het moment van de diefstal in 2020 zo'n 30.000 euro en zou zonder 'hack' zijn verkocht in het najaar van 2023 voor ruim 247.000 euro. De klant deed voor de competentiegrens van de kantonrechter afstand van alles boven de 25.000 euro, inclusief nevenvorderingen. De kantonrechter is bij geldvorderingen bevoegd tot een bedrag tot 25.000 euro uitspraken te doen.

De kantonrechter stelt dat beide partijen geen concrete beveiligingsafspraken hebben gemaakt. Wel had Coin Meester moeten zorgen voor destijds passende beveiliging die in redelijkheid van Coin Meester kon worden verlangd. De klant maakte gebruik van tweestapsverificatie via e-mail om in te loggen op zijn wallet, waarvan volgens de rechter logischerwijs een risico is dat toegang tot het e-mailaccount, met eenvoudige stappen ook toegang tot de wallet geeft. Daarbij was de klant verantwoordelijk voor de beveiliging van zijn e-mailaccount.

Sinds medio 2018 biedt Coin Meester ook de optie om Google Authenticator te gebruiken om in te loggen op de wallet. Dit is via de nieuwsbrief en website bekendgemaakt. Volgens de rechter gaat de stelling van de klant dat de cryptovaluta weg is en Coin Meester in haar beveiliging tekortschoot, voorbij aan de mogelijkheid dat de diefstal het gevolg is van een slechte beveiliging van de mailbox van de klant, aangezien niet is aangetoond dat de verificatie via e-mail niet heeft gewerkt.

"Coin Meester bewoog mee met marktontwikkelingen op beveiligingsgebied door medio 2018 ook het gebruik van Google Authenticator als alternatief aan te bieden onder verstrekking van voldoende informatie over de voor- en nadelen voor klanten. Coin Meester heeft ook openbare informatie over de beveiligingsniveaus van portemonnees bij haar concurrenten Bitvavo, Coinmerce en Knaken overgelegd, waaruit blijkt dat al deze partijen een tweestapsverificatie met een authenticator app zoals Google Authenticator tot op heden slechts optioneel aanbieden en dus niet verplichten", aldus de kantonrechter.

De kantonrechter voegt toe dat niet is aangetoond dat de gebruikte tweestapsverificatie via e-mail niet werkte en Coin Meester niet aansprakelijk kan worden gehouden voor alleen het feit dat zij Google Authenticator in 2020 niet verplicht heeft gesteld. "Bezien vanuit de kennis en technische mogelijkheden van destijds moet worden geoordeeld dat Coin Meester heeft gedaan wat in redelijkheid van haar kon worden gevergd", oordeelt de kantonrechter, die de vorderingen van de klant afwijst. Die moet als verliezende partij de proceskosten van ruim 1200 euro van Coin Meester betalen.