(rechtbank Amsterdam, 2020)

Achtergrond

Een particulier had een aanzienlijke hoeveelheid bitcoins in een digitale wallet opgeslagen. Door een phishing-aanval, waarbij hij werd misleid om inloggegevens te delen, werden zijn bitcoins door hackers gestolen.

De man stelde de partij verantwoordelijk die de beveiliging van het wallet-platform verzorgde, omdat hij vond dat deze partij onvoldoende maatregelen had genomen om hem te beschermen tegen phishing en diefstal. Hij vorderde een schadevergoeding voor het verlies.

Juridische discussie

• De beveiligingspartij voerde aan dat zij niet verantwoordelijk was voor de gebruikersfouten en dat phishing-aanvallen externe, kwaadwillige acties zijn waar zij beperkt tegen kunnen beschermen.
• De eiser stelde dat de partij tekort was geschoten in haar zorgplicht om de klant te beschermen tegen dit soort risico’s.
• De rechter moest beoordelen of er sprake was van aansprakelijkheid op grond van onrechtmatige daad of wanprestatie.

Uitspraak

De rechtbank oordeelde dat:

• Hoewel phishing een externe aanval is, had het wallet-platform wel degelijk een zekere zorgplicht om zijn klanten te informeren over veiligheidsrisico’s en bescherming te bieden.
• De beveiligingsmaatregelen van de partij waren echter niet toereikend om een phishing-aanval redelijkerwijs te voorkomen.
• De partij werd daarom gedeeltelijk aansprakelijk gesteld en moest een deel van de geleden schade vergoeden.

Impact

• Deze zaak benadrukt dat digitale dienstverleners een verantwoordelijkheid dragen voor de beveiliging van klantgegevens.
• Het zet een precedent dat zelfs bij cybercriminaliteit de platformaanbieder aansprakelijk kan zijn als zij onvoldoende maatregelen nemen.
• Dit heeft grote gevolgen voor bedrijven die werken met digitale valuta en online veiligheid.