T-Mobile hoeft Het Slachtoffer van sim-swapping niet te compenseren nadat een cybercrimineel bijna 17.500 euro aan cryptovaluta stal. Volgens de rechter is er geen direct verband tussen het overnemen van het telefoonnummer van het slachtoffer en de diefstal van cryptovaluta. De dader moest meerdere hordes moeten nemen om toegang te krijgen tot de cryptowallets van de gedupeerde.
Tot dat oordeel kwam de rechtbank van Den Haag afgelopen april. Het vonnis is vandaag openbaar gemaakt.
T-Mobile maakte fout bij sim-swap
In mei 2020 sloot de eiser een abonnement af bij T-Mobile. Bijna een jaar later, in februari 2021 om precies te zijn, slaagde een oplichter erin om de controle over zijn telefoonnummer over te nemen. Dit noemen we ook wel sim-swapping. Daarvoor deed hij een beroep op de chatfunctie op de website van het telecombedrijf.
Om de identiteit van de aanvrager voor de sim-swap vast te stellen, stelde de medewerker van T-Mobile een aantal vragen. De werknemer vroeg naar zijn achternaam, postcode, postcode, geboortedatum en mobiele nummer. Al deze vragen beantwoordde de oplichter correct. Daarop volgden nog twee controlevragen: van welke bankrekeningnummer werd het abonnementsgeld afgeschreven en wat was het bedrag op de laatste factuur?
De eerste controlevraag werd juist beantwoord. Op de tweede vraag wist de oplichter het antwoord niet. Daarop zei hij: “Een precies bedrag weet ik niet, maar het is altijd rond de 25 euro”. Het antwoord was fout, omdat de provider vlak daarvoor 19,99 euro had afgeschreven. Toch accepteerde de medewerker van T-Mobile het antwoord en autoriseerde hij de sim-swap.
T-Mobile biedt ‘uit coulance’ schadevergoeding van 500 euro
Op het moment dat de oplichter de sim-swap uitvoerde, had het slachtoffer cryptowallets bij meerdere handelsplatformen. De toegang tot deze accounts had hij beveiligd met tweefactorauthenticatie. Hiervoor gebruikte hij de authenticatie-app Authy. Naast een gebruikersnaam en wachtwoord heb je een toegangscode nodig om toegang te krijgen tot je cryptowallet. Authy maakt iedere dertig seconden een nieuwe tijdelijke toegangscode aan.
Na de succesvolle sim-swap wist de cybercrimineel cryptovaluta ter waarde van 17.485,43 euro te stelen. Via aangetekende brief stelde het slachtoffer T-Mobile verantwoordelijk voor de financiële schade. Hij stelde dat de diefstal had kunnen plaatsvinden doordat het telecombedrijf haar eigen protocol om de identiteit van een klant vast te stellen niet correct had opgevolgd.
Het telecombedrijf reageerde op de brief met het voorstel om ‘uit coulance’ Een Bedrag Van 500 euro te vergoeden. De daaropvolgende correspondentie zorgde er niet voor dat beide partijen tot overeenstemming kwamen. Om zijn verhaal te onderbouwen schakelde het slachtoffer in december 2021 ICTRecht B.V. in. Het adviesbureau bracht een rapport uit over hoe de sim-swapfraude had plaatsgevonden.
Slachtoffer: ‘T-Mobile overtrad AVG’
Het slachtoffer spande een rechtszaak aan tegen T-Mobile om een schadevergoeding af te dwingen. Tijdens de zitting betoogde hij dat T-Mobile een derde toegang had verleend tot zijn persoonsgegevens en dat het bedrijf geen passende beveiligingsmaatregelen had getroffen. Dat is in strijd met respectievelijk artikel 4 lid 12 en artikel 6 lid 1 van de Algemene Verordening Gegevensbescherming (AVG).
Het slachtoffer eiste dat T-Mobile het volledige schadebedrag vergoedde, inclusief wettelijk verschuldigde rente, buitengerechtelijke kosten en expertisekosten. Dat komt neer op een bedrag van meer dan 25.000 euro.
Rechter: ‘T-Mobile schoot tekort, maar hoeft slechts 500 euro te vergoeden’
T-Mobile verdedigde zich door te zeggen dat er ‘geen direct verband’ bestaat tussen het beschikken over het telefoonnummer van het slachtoffer en het stelen van zijn cryptovaluta “omdat de crimineel nog diverse hordes heeft moeten nemen om de crypto’s te ontvreemden, namelijk overname van het Hotmail-account van de eiser, toegang tot de Authy-app en toegang tot de cryptowallets”. Alleen een telefoonnummer en e-mailadres waren onvoldoende om de diefstal uit te voeren. Verder verweet het telecombedrijf dat het slachtoffer zijn accounts onvoldoende zou hebben beveiligd.
In haar oordeel erkent de rechter dat T-Mobile de sim-swap had moeten weigeren, omdat de laatste controlevraag niet goed was beantwoord. Op dat punt is de provider ‘toerekenbaar tekortgeschoten’ en heeft het onrechtmatig gehandeld jegens haar klant.
Tegelijkertijd meent de rechtbank dat T-Mobile een beroep mag doen op de aansprakelijkheidsbeperking die is vastgelegd in de algemene voorwaarden. Daarin staat dat de provider een bedrag van maximaal 500 euro per gebeurtenis hoeft te vergoeden als het bedrijf tekort is geschoten. De rechter is van mening dat dit schadevergoedingsbedrag “noodzakelijk, geschikt en proportioneel” is.
De kosten voor het adviesbureau hoeft T-Mobile niet te vergoeden van de rechter. Dat geldt ook voor de kosten die het slachtoffer heeft moeten maken om de zaak voor de rechter te brengen.
