Geen schending zorgplicht bij belegging in crypto

Rechtbank Noord-Holland 12 oktober 2022, IT 4129; ECLI:NL:RBNHO:2022:9336 (eisers tegen gedaagde) Gedaagde heeft met het vermogen van eisers gehandeld in cryptovaluta. Op enig moment zijn de door gedaagde gebruikte cryptorekeningen leeggehaald. Gedaagde zegt dat er sprake is van een hack, eisers betwisten dat. Eisers spreken gedaagde primair aan op grond van een tekortkoming in de nakoming van de overeenkomst van opdracht omdat gedaagde zijn zorgplicht heeft geschonden. Subsidiair spreken eisers gedaagde aan op grond van onrechtmatige daad. De rechtbank oordeelt dat er geen bijzondere zorgplicht is omdat gedaagde niet als een professionele beleggingsdienstverlener moet worden beschouwd. Er is ook geen grond om aan te nemen dat gedaagde de gebruikelijke zorgplicht als opdrachtnemer heeft geschonden, de primaire vordering wordt afgewezen. De rechtbank wijst ook de subsidiare vordering af omdat eisers onvoldoende hebben gemotiveerd dat gedaagde onverantwoorde risico’s met hun vermogen heeft genomen en onvoldoende heeft gedaan om hun Binance-accounts te beveiligen. 

5.9. [gedaagde] betwist dat hij zijn zorgplicht heeft geschonden en dat sprake zou zijn van lastgeving. Uit niets blijkt welke afspraken zijn gemaakt, zodat niet duidelijk is in de nakoming van welke verplichting hij tekort is geschoten. De opdracht dient in feite te worden gekwalificeerd als een zekere vriendendienst. Dit volgt niet alleen uit de commissie die [eiser 1] zelf ook ontving voor het aanbrengen van investeerders, maar ook uit de vriendschappelijk wijze van omgang tussen [eiser 1] en [gedaagde]. [gedaagde] is bovendien geen professionele cryptohandelaar of specialist in het vakgebied, waardoor sprake zou kunnen zijn van een zwaardere zorgplicht. Hij heeft ook niet gehandeld als bank of beleggingsonderneming en is niet meer dan een particuliere belegger die zijn vriend heeft geholpen bij zijn vermogensbeheer. Hij merkt verder op dat de hack van de cryptowallet van [eiser 1] buiten zijn macht heeft plaatsgevonden. [gedaagde] voert aan dat hij alle accounts heeft beveiligd met een lang wachtwoord en tweefactor authenticatie (hierna: 2FA). Ook heeft hij gebruik gemaakt van verschillende accounts. Dit zijn volgens [gedaagde] drie belangrijke manieren om cryptovaluta te beveiligen. [gedaagde] stelt verder dat hij [eiser 1] op de risico’s van de cryptohandel heeft gewezen en [eiser 1] deze risico’s heeft aanvaard. Bovendien is [eiser 1] zelf voldoende bekend met de (risico’s van de) cryptohandel. 
Volgens [gedaagde] heeft hij zijn verantwoordingsplicht van artikel 7:403 BW evenmin geschonden. Aangezien [eiser 1] en [gedaagde] vriendschappelijk met elkaar omgingen en [gedaagde] duidelijk heeft aangegeven - voor zover hem bekend- wat er is gebeurd, meent [gedaagde] dat hij voldoende verantwoording heeft afgelegd.

5.10. Voornoemd verweer van [gedaagde] slaagt. Naar het oordeel van de rechtbank heeft [eiser 1] onvoldoende gesteld om de conclusie te rechtvaardigen dat [gedaagde] als een professionele beleggingsdienstverlener moet worden beschouwd. Het verweer van [gedaagde] in dit verband dat hij zichzelf bekend heeft gemaakt met het vakgebied van de cryptohandel door het opdoen van ervaring en beperkte zelfstudie, dat hij geen economische of financiële opleiding heeft genoten en ook niet over een vergunning voor vermogensbeheer beschikt, is door [eiser 1] c.s. ook niet weersproken. Er kan daarom niet worden aangenomen dat op [gedaagde] een bijzondere zorgplicht rustte.

5.11. Er is ook geen grond voor het oordeel dat [gedaagde] de gebruikelijke zorgplicht als opdrachtnemer heeft geschonden. Partijen hebben geen schriftelijke overeenkomst gesloten en onduidelijk is wat de opdracht precies inhield. Afspraken ontbreken en volgen ook niet uit de door [eiser 1] c.s. in het geding gebrachte WhatsApp-correspondentie. Het enige wat vast staat is dat [eiser 1] bedragen in zijn investeringswallet stortte en dat [gedaagde] hiermee ten behoeve van [eiser 1] mocht handelen en een percentage van de opbrengst ontving. Gesteld noch gebleken is dat partijen nog verdere afspraken hebben gemaakt met betrekking tot de inhoud en de reikwijdte van de door [gedaagde] in haar contractuele relatie met [eiser 1] in acht te nemen zorgplicht. Partijen hebben ook geen bijzondere invulling gegeven aan die zorgplicht, bijvoorbeeld ten aanzien van de beveiliging van de accounts, de informatievoorziening of aansprakelijkheid. De rechtbank neemt voorts in aanmerking dat zij beiden al langer in de cryptohandel actief waren en [eiser 1] met de door [gedaagde] getroffen beveiligingsmaatregelen bekend was. Nu door [eiser 1] niet onderbouwd gesteld is dat een verdergaande (dan de door [gedaagde] in acht genomen) vorm of mate van beveiliging van cryptoaccounts gebruikelijk is en algemeen bekend is bij en aanvaard door particuliere cryptohandelaren, moet de conclusie luiden dat niet is gebleken dat [gedaagde] zijn zorgplicht jegens [eiser 1] heeft geschonden.

5.14. [gedaagde] betwist dat hij onrechtmatig heeft gehandeld. Dat het cryptoaccount van [eiser 1] is gehackt, is volgens [gedaagde] niet aan hem te wijten. Hij heeft immers voldaan aan het voldoende beveiligen van de cryptovaluta van [eiser 1]. Het feit dat hacks zich kunnen voordoen, is volgens [gedaagde] een risico dat inherent is aan het handelen met cryptovaluta, waar [eiser 1] ook mee bekend was. De simpele pech dat zich een dergelijke hack voordoet, kan daarom volgens [gedaagde] niet aan hem worden toegerekend. [gedaagde] wijst er op dat partijen geen contractuele afspraken hebben gemaakt en hij geen garanties heeft verleend (op grond waarvan hij tot vergoeding zou zijn gehouden indien zich een hack voordoet). De hack kan evenmin aan hem worden toegerekend op grond van in het verkeer geldende opvattingen nu [gedaagde] geen gespecialiseerd belegger is en hiervoor ook geen vergunning heeft. 

5.15. Ook dit verweer slaagt. [eiser 1] verwijt [gedaagde] vooral dat hij onverantwoorde risico’s met zijn vermogen heeft genomen en onvoldoende heeft gedaan om zijn Binance-accounts te beveiligen. [eiser 1] heeft deze stellingen echter, mede in het licht van het verweer van [gedaagde], onvoldoende onderbouwd. Vast staat immers dat [gedaagde] zijn Binance-accounts had beveiligd met een (lang) wachtwoord en met 2FA-beveiliging. Dat dit binnen de cryptobranche als onvoldoende wordt beschouwd, is niet gebleken. De enkele omstandigheid, dat een of meerdere e-mailaccounts van [gedaagde] niet 2FA beveiligd waren, zodat via die weg een hack mogelijk was, is dan ook onvoldoende om de conclusie te rechtvaardigen dat [gedaagde] onverantwoorde risico’s heeft genomen en daarmee onrechtmatig heeft gehandeld. Een dergelijke beveiliging is tussen partijen immers niet afgesproken en gesteld noch gebleken is dat een dergelijke beveiliging in zijn algemeenheid gebruikelijk is. 

De stelling van [eiser 1] dat (het vermoeden bestaat dat) geen sprake is geweest van een hack, maar dat [gedaagde] het kapitaal zelf van zijn Binance-rekeningen heeft gehaald en zich heeft toegeëigend, wordt in het licht van de verklaring van de door [eiser 1] ingeschakelde contactpersoon bij Binance dat hij heeft geconstateerd dat sprake is geweest van een hack van het account van [eiser 1], als onvoldoende onderbouwd gepasseerd. Dat [gedaagde] zelf verantwoordelijk is voor deze hack, zoals [eiser 1] suggereert, is evenmin aannemelijk geworden.