Coinmerce geeft niet thuis na account-hack. De Nederlandsche Bank doet niets.

Het blijkt erg moeilijk te zijn gerechtigheid te vinden nadat een Coinmerce-account gehackt is, waarbij cryptovaluta door kwaadwillenden naar externe wallets zijn gesluisd. Coinmerce is een in Nederland gevestigde cryptobroker die geregistreerd staat bij De Nederlandsche Bank (DNB). Dit laatste blijkt in de praktijk echter weinig voor te stellen voor gedupeerde beleggers die aantoonbaar getroffen zijn door een account-hack. Zou de doorsnee belegger denken dat door desbetreffende registratie bij DNB het hele (dis)functioneren van een cryptobroker is gewaarborgd, blijkt deze alleen toezicht te houden op de vereisten uit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Voor overige misstanden – zoals het niet naleven van de zorgplicht volgens artikel 7:401 BW – voelt DNB zich niet verantwoordelijk. Coinmerce gaf tot voor kort op hun eigen website het advies bij ontevredenheid over interne klachtafhandeling een melding daarvan te maken bij het KiFiD (Klachteninstituut Financiële Dienstverlening). Echter, volgens het KiFiD is Coinmerce helemaal niet bij hen aangesloten en konden zij de klacht daardoor niet in behandeling nemen. Sinds kort is de verwijzing naar het KiFiD dan ook van de Coinmerce-website verdwenen. Dat kan blijkbaar zomaar.

Coinmerce hecht weinig waarde aan haar zorgplicht in het geval een derde zonder toestemming van de belegger of na een hack van het account de cryptovaluta naar een externe wallet heeft gesluisd. De cryptobroker kan dan zijn zorgplicht hebben geschonden doordat deze niet alle redelijke maatregelen heeft genomen om cryptodiefstal te voorkomen. In casu is aan de diefstal een zeer dubieuze online chat tussen notabene de hacker en een supportmedewerker van Coinmerce voorafgegaan. Hierbij zijn door de supportmedewerker transacties doorgezet waarvan de belegger zélf te horen had gekregen dat ze geblokkeerd waren, omdat nog niet alle benodigde documenten waren ingediend. In de chat wordt de blokkade bovendien opgeheven zonder enige vorm van authenticatie van de persoon aan de andere kant, in dit geval de hacker. Bij Coinmerce blijkt authenticatie overigens niet verder te gaan dan een simpel telefoongesprek waarin gevraagd wordt of je [voornaam] bent en of de door jou ingediende aanvraag persoonsgegevens naar “het emailadres zoals bij ons bekend” gestuurd kan worden.

Voorzichtigheid is blijkbaar geboden bij het gebruik van diensten van cryptobrokers, want hoewel een registratie bij DNB veel beleggers een “veilig” gevoel zal geven, levert het in de praktijk geen bescherming tegen praktische misstanden en blijft alleen een weg naar de rechter over.