Juridische stappen met de OV-chipkaart

Het kraken van de OV-chipkaart is een fluitje van een cent, meldde PC-Active een tijdje terug. Op OV-chipkaart.org is te lezen hoe men de kaart kan uitlezen en de inhoud kan backuppen. TLS, het bedrijf achter de veelgeplaagde kaart, stuurde daarop een blafbrief waarin wordt gemeld dat men de site nauwlettend in de gaten zal houden en “juridische stappen” zal ondernemen. Ik moest lachen: het bedrijf houdt immers de gangen van iedere OV-gebruiker al nauwlettend in de gaten met die kaart.

Het uitlezen van een kaart en het vastleggen van de data die je dan krijgt, kan ik met geen mogelijkheid als strafbaar zien. Ook niet als je het omineus getitelde Mifare Classic Offline Cracker daarvoor gebruikt (maar het kan altijd hernoemd worden naar Mifare Security Verifier of zo natuurlijk). Ga je de kaart manipuleren, dan kom je in een grijs gebied. En ga je reizen met een gemanipuleerde kaart, dan pleeg je zeker een strafbaar feit: het valselijk opmaken van betaalkaarten (art. 232 Strafrecht).

Dat weet TLS ook maar al te goed, want er wordt niets gesommeerd of geëist. De brief komt neer op “we houden je in de gaten mannetje” en dat is een beetje merkwaardige manier van blaffen. Net zo merkwaardig vind ik de reactie van TLS dat dit “oud nieuws” zou zijn, want “tot nu toe is er nauwelijks fraude gepleegd”. Het lijkt mij toch nieuws dat je nu voor een paar tientjes je kaart kunt manipuleren, precies zoals TNO in 2008 voorspelde in 2008.

In een vonnis uit 2008 werd onderzoek naar het kraken van de OV-chipkaart overigens legaal verklaard omdat dit evident in het algemeen belang is, en er geen sprake was van het actief maken van nepkaarten of promoten van reizen met een nepkaart.

Zucht. Waarom is de reactie van dit soort clubs toch altijd om eerst te gaan blaffen en te dreigen met juridische stappen en pas daarna om eens na te denken dat het misschien ook wel ligt aan je eigen product? Dat had die rechter uit 2008 ze nota bene met zo veel woorden verteld.

Arnoud

57 reacties

  1. Het ‘gevaarlijkste’ van zo’n hack lijkt me niet mensen die hun eigen kaart kraken. Vroeger was 10% zwartrijder, dat zal nu wel 10% blijven en gewoon ingecalculeerd worden. Veel interessanter voor dit blog denk ik, zijn mensen die andermans kaart kraken.

    Toekomstige vragen voor dit blog: * Wie is er verantwoordelijk als er automatisch geld wordt afgeschreven omdat iemand met een van jou gekopieerde kaart reist? * Wat als iemand met een laptop alle kaarten binnen een meter omtrek stiekem oplaadt/wist (of ~30cm in een drukke bus)? * De scanner van de conducteur ‘vermoedt’ dat het een gehackte kaart is, wat dan? Automatisch volgen met de beveiligingscamera’s? Lijkt mij de toekomst. * Stel, iemand maakt een OV-chip scanner die op 10m. afstand werkt, wat voor gevolgen zal dat hebben? * Moeten we h.e.e.a. wel technisch/juridisch oplossen? Het is misschien meer een sociaal probleem en worden we teveel een technocratie? * Is het onderliggende probleem niet groter? Het sentiment dat “de overheid van alles doordrukt, waarvan iedereen weet dat het niet werkt en de burgers daar de dupe van zijn”, ongeacht of dat waar is of niet.

  2. @Bert: Erg leuke vragen, maar even een technische beperking uit de weg halen. De reikwijdte van een cardreader voor ISO14443 is in de centimeters voor deze actieve aanval. Je moet de smartcard immers via het veld van energie voorzien en dat gaat heel erg snel omlaag met de afstand. 30 cm is net wel/net niet te halen in lab omstandigheden met een erg onpraktische eindversterker en antenne. Realistische afstanden voor in het veld zijn duidelijk onder de 10 cm. Dus een reader in de deurpost of dicht tegen iemand aanschurken 😉

    Blijft dat het goede vraag is wie er verantwoordelijk voor is als die kaart het niet doet of niet veilig is. Je kunt als gebruiker hoogstens de kaart afschermen, maar zelfs dat vind ik best een zware last (de hele business clou van contactloze kaarten is gebruikersgemak).

  3. @Wouter: Die 30 cm is misschien waar als je je netjes aan de maximum vermogens houdt die ISO14443 specificeert voor een kaartlezer. Maar hoe zit dat wanneer je het vermogen wat opvoert? Iemand die heimelijk RFID kaarten wil lezen, heeft vast lak aan ISO14443-2.

  4. @Peter: nee, die 30cm is wanneer je het vermogen heel fors opvoert, tot het praktische/fysieke limiet. Je hebt het over vonken die van de manshoge antenne springen. Dus echt de aanvallers-blik.

    @Willem: leuk idee van een realistische implementatie 😉

    Maar laten we niet in die technische discussie hangen, de juridische vragen zijn nog steeds leuk: wat als je OV chipkaart “gehacked” wordt door een derde, vooral omdat je als legitieme houder daar bijna niets aan kunt doen.

  5. Volgens de wet (art. 7:529 BW) is de eigenaar van de kaart tot een bedrag van ten hoogste ??? 150 aansprakelijk bij verlies of diefstal van de kaart. Niet expliciet geregeld is de gekloonde kaart, maar goed verdedigbaar is dat dit artikel naar analogie ook daarvoor moet opgaan.

    Misschien moet het wel sterker zijn. Bij verlies of diefstal is nog ?nige aansprakelijkheid bij de klant te leggen (“had je maar beter moeten oppassen”), bij klonen is dat lastig denkbaar. Klonen van mijn kaart gaat geheel buiten mijn macht om, dus om mij dan zelfs maar 150 euro in rekening te brengen is moeilijk verdedigbaar.

    Wel geldt de eis dat je alle redelijke veiligheidsvoorschriften van de uitgever van de kaart moet hebben nageleefd. Zo mag een bank bv. een virusscanner verplichten) als je internetbankieren afneemt.

  6. Ik zou het toch niet echt veilig vinden om zo’n kaart in je broekzak te hebben terwijl je een staanplaats hebt in een drukke tram, bus of trein. In de toekomst zal deze software waarschijnlijk sneller werken, en in een mobiele telefoon te installeren zijn, waardoor de apparatuur van de hacker ook in een broekzak past. Zo’n hacker hoeft dan maar even vlak naast je te staan om iets naars uit te halen.

    Het is natuurlijk niet leuk dat mensen straks niet meer betalen voor hun OV, en dat mensen vals beschuldigd gaan worden van het kraken van hun kaart, maar verder ben ik wel blij met deze kraak. Ik hoop dat het hele OV-chipkaartproject nu wordt geannuleerd, en dat de oorspronkelijke betaalmethoden behouden blijven (en in de grote steden hersteld worden).

    Ik heb op zich niets tegen elektronisch betalen, maar de elektronische betaalmiddelen zoals die nu gebruikelijk zijn (PINnen, OV chipkaart e.d.) zijn niet wat ik ‘controleerbaar anoniem’ zou noemen: zelfs als er beweerd wordt dat het anoniem is, kan je dat als gebruiker niet controleren. Bij contant geld is dat wel zo, en daarom hecht ik veel waarde aan het gebruiken van contant geld.

    Het maken van een ‘open’, controleerbare architectuur voor betaalmiddelen is een aardige technologische uitdaging, omdat het systeem natuurlijk niet zo open mag zijn dat mensen hun eigen geld kunnen maken. Toch vind ik dat we deze uitdaging niet uit de weg mogen gaan. En een bijkomend voordeel van zo’n open systeem is dat beveiligingsfouten zoals in de Mifare-chip niet snel gemaakt zullen worden.

    Het lijkt mij mooi als een toekomstig betaalmiddel is gebaseerd op zoiets als eCash of bitCoin, met een open communicatiestandaard voor betalingen, zodat er in de vrije markt elektronische ‘wallets’ ontwikkeld kunnen worden met goede authenticatiemethoden. Natuurlijk is anoniem betalen niet in het belang van opsporingsinstanties; ik denk dan ook dat de vervoersbedrijven op eigen initiatief zo iets moeten ontwikkelen, los van de overheid.

    Ik vind dat de ‘white hat’ hackers die de OV chipkaart gekraakt hebben ook wel op een constructieve manier mogen meewerken aan de ontwikkeling van zo’n ‘nieuwe generatie’ chipkaart. Ik ben ook zelf bereid om onbetaald mee te werken aan zo’n project (voor zover ik daar tijd voor heb). Ik vind het erg belangrijk dat zo’n anoniem, open en veilig systeem van de grond komt.

  7. @Willem, 5: Het meeluisteren met de radiocommunicatie tussen chip en lezer kan van een redelijk grote afstand (meters). Voor het storen van de communicatie moet je het signaal van kaart en/of lezer overstemmen, het vermogen wat je daarvoor nodig hebt is afhankelijk van de afstand tot het paaltje. Ik verwacht dat je met iets dat in een koffertje past tot op een paar meter kaarten kunt beschrijven (op het moment dat ze door een paal geactiveerd worden).

    @Corn?, 8: Ik verwacht dat de overheid een anoniem elektronisch betalingssysteem zal dwarsbomen, het elektronische spoor dat je achterlaat is veel de handig voor de opsporingsdiensten.

  8. Tja, het OV. Tien jaar geleden eigenlijk al afscheid ervan genomen omdat ik met de auto -ondanks de file- gewoon sneller op mijn gebruikelijke bestemmingen kom dan met het OV. En ik kan dan klagen dat ik soms 15 tot 30 minuten in de file sta, maar vroeger zat ik met vertragingen van de trein van een half uur of langer. Nu met de introductie van de OV-chipkaart is het OV zelfs nog oninteressanter voor mij geworden. Immers, via de kaart kan geregistreerd worden waar ik heen ga en wanneer ik erheen ga. Maar goed, met alle camera’s langs de snelweg heb ik dat ook met de auto, dus niet echt een sterk punt. Alleen is de data van de OV-chipkaart dus duidelijk minder goed beveiligd. Mooier zou het zijn indien het OV gewoon volledig gratis zou worden. De kosten hiervan kunnen eventueel opgevangen worden door meer belastingen te vragen, zeker auto-belastiing. Daarnaast zou het bedrijfsleven natuurlijk aangemoedigd kunnen worden om het OV te sponsoren, waarbij ze in ruil voor sponsoring beter bereikbaar worden gemaakt met het OV, bijvoorbeeld door een extra bushalte voor de deur. Het betekent ook dat de kosten die nu gemaakt worden voor de productie en verkoop van kaartjes volledig overboord kan en er dus personeel kan verdwijnen. Gratis openbaar vervoer kan ook nog eens meehelpen het file-probleem te bestrijden, zeker omdat werknemers nu eigenlijk geen reiskosten meer hebben. Dus ook geen reiskosten-vergoedingen meer! (Balen!) Het enige nadeel met gratis OV is dat we juist het OV geprivatiseerd hebben en er diverse bedrijven in hebben ge-investeerd en hun investering via de OV-chipkaart en zo terug moeten verdienen. Die privatisering zou dan eigenlijk ongedaan moeten worden want ik denk niet dat er een OV-bedrijf is die het aandurft om gratis vervoer aan te bieden. Best jammer, want het zou een ideale oplossing zijn. Nu zitten die bedrijven op hun centjes en proberen ze van alles uit dat geleverd kan worden door de goedkoopste leveranciers. En dat goedkoop ten koste kan gaan van de kwaliteit interesseert hen niet. Ze willen alleen geld verdienen…

  9. @Wim Het privatiseren van het OV hoeft geen bezwaar te zijn als het gaat om gratis OV. Zolang de OV bedrijven bijhouden hoeveel mensen er per halt in en uitstappen, welke mensen is niet eens interessant hooguit voor marketing en productontwikkeling, kan er vastgesteld worden hoeveel reizigerskilometerser gemakt zijn. En hierop kun je afrekenen. Het is dan aan, private, de OV bedrijven om te zorgen dat er zo veel mogelijk mensen mee rijden. Dus reclame goede dienstverlening etc.

  10. @MathFox, #9: Ik verwacht ook dat de overheid dit zal proberen te dwarsbomen (ik ben wel benieuwd op welke manier dat zou kunnen). Wat dat betreft moeten we zuinig zijn op het anonieme systeem dat we nog wel hebben: contant geld. Ik ben dus ontzettend fel tegen alle veranderingen die contante betaling onmogelijk maken.

    Het probleem in Nederland is vooral dat de meeste mensen ontzettend na?ef zijn waar het gaat om privacy. Daardoor is privacy nauwelijks een issue bij de verkiezingen, en is er geen massale boycot van elektronische betaalvormen. Het moet echt een keer flink mis gaan voordat mensen dit als een probleem gaan zien.

    Een nog veel dreigender gevaar is dat het misschien wel nooit echt massaal mis gaat. Dat we in Nederland een situatie krijgen zoals in China, waar het met de meeste mensen goed gaat, en het regime dus op steun van een meerderheid kan rekenen. Dat de meeste mensen een gouden kooi verkiezen boven vrijheid. Dat de bevolking niet massaal in opstand komt als er een minderheid is die genadeloos wordt aangepakt door het systeem.

    Overigens heeft de overheid wel een zwak punt: traagheid. Als het lukt om ‘onder de radar’ een anoniem betaalmiddel te introduceren dat net zo populair wordt als bijv. file sharing nu is, dan zal de overheid het moeilijk krijgen om dit de kop in te drukken. Maar de kritische massa die daarvoor nodig is, is groter dan het aantal fanaten dat nu met zulke systemen experimenteert. En ik ben bang dat het niet gaat lukken als privacy het enige voordeel is.

  11. Artikel 138ab WvS definieert computervredebreuk als binnendringen “in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: [..] a. door het doorbreken van een beveiliging”.

    “Mifare Classic Offline Cracker” lijkt me zeker de beveiliging van het geautomatiseerd systeem ‘ov-chipkaart’ doorbreken. Waarom is het dan zo zeker dat het uitlezen van de kaart niet strafbaar is?

  12. De RFID-kaart blijft eigendom van TLS, zie de algemene voorwaarden: “Als kaarthouder heeft u uitsluitend het gebruiksrecht, TLS blijft eigenaar van de kaart. “

    Waarin verschilt het uitlezen van een RFID-kaart van het uitlezen van een versleutelde harde schijf, bijvoorbeeld?

  13. @Arnoud Mag je dan een WiFi netwerk ook uitlezen? Welke Mac adressen erop zitten enzo, gebruik, inlogdata, handshakes. En die data van die RFID chip zal toch niet in plain text op die kaart staan? Daar zit toch ook een vorm van encryptie op die doorbroken moet worden, zoals het brakke WEP of WAP bij wireless routers. Of heeft het dan te maken met eigendom? Je mag je eigen wireless router in bruikleen bij je ISP gerust afluisteren en uitlezen, maar niet de OV chipkaart van de buurman.

    Edit: Je was sneller. Eigendom dus. 🙂 Gisteren trouwens twee oude dame’s in de bus met een strippenkaart en een beteuterd gezicht. Ja, dan moet u een duur kaartje kopen, geen contact geld bijhebben. In een vlaag van barmhartigheid besluit ik ze op m’n OV chipkaart te laten reizen. Piep! – U bent uitgechecked, Goede Reis – Piep! U kunt niet in- en uitstappen, wachten. Norse buschauffeur en de techniek staat voor niets tegenwoordig. Als ik een goede dag heb valt mijn tarief op 1.14E en ik zie al hoe mijn dag gaat als ik uitcheck en er staat ineens 1.54E.

  14. Het opvangen van signalen van een wifinetwerk is op zich geen verboden handeling. Het opzettelijk aanmelden op zo’n netwerk is dat denk ik wel (hoewel de rechter in ??n zaak daar anders over dacht). Maar je doet dan meer dan luisteren: je vraagt een IP-adres aan en je gaat op het netwerk kijken wat er rondzwerft.

    Het netwerk dat je met een bruikleenrouter opzet, mag je aftappen. Althans, da’s geen computervredebreuk. Maar het kan wel een privacyschending opleveren als je priv?data zoals e-mail gaat tappen.

  15. In de tijd van de strippenkaart had ik niet meer nodig dan een stukje mat-plakband om gratis te kunnen reizen. Braaf stempelen en laten zien voor controle. Als je dan thuis bent veeg je het stempel met een natte vinger af.

    Als we dit gaan vergelijken met de methode die men gebruikt om de OV chip ‘op te laden’ dan denk ik toch dat de veiligheid van het systeem een grote vlucht gemaakt heeft.

  16. @Edwin, een duikvlucht bedoel je dus. 🙂 Okay, het plakband-truukje werkte goed. Maar de meeste buschauffeurs hadden ook speciale etiketten in de bus liggen om een fout-gestempelde kaart mee te kunnen corrigeren. Door die gewoon uit een bus te jatten kun je ook al aardig ver komen. Sowieso had je vroeger het nadeel dat bij grondig onderzoek van de kaart eventuele fraude wel ontdekt kon worden. Je moest sowieso oppassen dat de inkt niet al in je jaszak er vanaf werd geveegd of zou vlekken want dat zou het plakband verraden. En ja, een controleur die even met zijn vinder over je kaart wrijft heeft het dan ook wel snel door. Bij de chipkaart kun je aan de kaart zelf eigenlijk geen sporen van fraude aflezen. Als je eenmaal ermee kunt frauderen dan gebeurt het ook zonder sporen. Zet een fors tegoed op je kaart en in het algemeen zul je geen problemen tegenkomen. De bewijslast ligt immers bij het vervoers-bedrijf. Maar vervoersbedrijven maken zich niet al te druk om deze vorm van fraude. Het geeft hen immers een reden om de prijs nog iets omhoog te schroeven wegens “alle extra onkosten” die het met zich meebrengt. Want het OV in Nederland is best kostbaar…

  17. @Matthijs Melissen, 17: ???Als kaarthouder heeft u uitsluitend het gebruiksrecht, TLS blijft eigenaar van de kaart. ???

    Afgezien van het feit dat de Algemene Voorwaarden van TLS niet bij de kaartautomaten van de NS beschikbaar zijn… betekent dat dat ik van de NS (tegen teruglevering van de anonieme OV-kaart) ook 7.50 euro terug kan vorderen omdat ze me geen eigendom leveren op de gekochte OV-kaart?

  18. Laten we zeggen van A via C naar B en terug. In A check je in met kaart 1. In B check je in met kaart 2. In C check je uit met kaart 1. In A check je uit met kaart 2.

    Je betaalt A-C plus B-A, niet A-B plus B-A.

    (Het geval C=A is het eenvoudigst, maar ik weet niet zeker of dat kan.)

    (Voor de duidelijkheid: op het traject A-B toon je bij controle kaart 1, op het traject B-A toon je bij controle kaart 2. En nee, ik doe hier geen suggestie of iets dergelijks, dit is uiteraard slechts een zuiver theoretische beschouwing.)

  19. @Edwin, 21: Als ik me niet vergis, was jouw trucje precies de reden om op stempelinkt over te stappen die verkleurde als die opdroogde… En bij het zien van een plakbandje op de strippenkaart begon een kontroleur sowieso te piepen… 😉

  20. @mathfox

    Volgens mij zijn ze bij bijvoorbeeld de politek wel degelijk bezig met privacy maar ligt de focus compleet verkeerd.

    Men gaat enorme discussies aan over een vingerafdrukkendatabase. Een zaak waar heel weinig echte privacy issues aan verbonden zijn (wel implementatie issues) maar laat bijvoorbeeld openbaar vervoermaatschappijen maar ook bijvoorbeeld internet bedrijven gigantische hoeveelheden aan data over mensen opslaan waar die deze partijen commercieel kunnen uitbuiten om meer geld uit de zakken van burgers te kloppen.

  21. Men gaat enorme discussies aan over een vingerafdrukkendatabase.

    Was het maar zo. Ik heb nog geen tekenen gezien dat de opslag van vingerafdrukken gestaakt wordt, laat staan dat gestopt wordt met het registreren van vingerafdrukken om ze op identiteitsbewijzen te plaatsen. Dat laatste is trouwens lastig, omdat op Europees (Schengen) niveau besloten is dat er vingerafdrukken op onze reisdocumenten(*) moeten komen.

    (*) Dat stelt inderdaad geen voorwaarden aan identiteitspapieren voor gebruik op nationaal niveau. Nederland zou dus kunnen besluiten om een identiteitskaart uit te geven zonder biometrische gegevens, of, beter nog, de identificatieplicht geheel af te schaffen.

  22. @Arnoud: kaart 1 checkt uit in C (uiteraard pas op de terugreis van B naar A!), kaart 2 checkt in in B.

    Op ieder moment kun je een – voor zover controleerbaar – geldig plaatsbewijs tonen (kaart 1 van A naar B, kaart 2 van B naar A), dus betrapt op zwartrijden zul je niet worden.

  23. Even kijken hoor: Van A naar B, via C. Dus vier trajecten: A-C, C-B, B-C, B-A.

    Check in met K1 bij A. Laat je vervoeren op traject A-C. Dit gaat goed, je hebt een geldige kaart. want ingecheckt bij A.

    Aangekomen bij C: niet uitchecken, maar doorgaan naar B. Dit mag, voortgezet traject (hoewel niet bij overstap naar andere trein maar neem aan dat de trein in ??n ruk doorrijdt).

    Aangekomen bij B. Check niet uit met K1. Probleem: je kunt het station niet verlaten want dan moet je uitchecken. Neem dus aan dat je je zaken op het station afhandelt. Check je w?l uit met K1 dan betaal je uiteraard A-B wat niet de bedoeling is.

    Vervolgens inchecken bij B met K2. Dit is lastig bij de trein, immers de inchecksensor zit buiten de poortjes, en daar kun je moeilijk onopvallend bij. Stel dat dit lukt.

    Reis van B naar C. Dit gaat goed met geldig vervoersbewijs K2.

    Stap uit bij C en check uit met K1. Dit zal worden opgevat als afleggen traject A-C (maar mogelijk komt er een alert omdat je wel heel lang over A-C deed). Probleem met uitchecken is minder groot dan inchecken, immers sensor zit aan goede kant. Wel kan het opvallen dat je uitcheckt maar binnen blijft.

    Vervolg de reis van C naar A. Dit gaat goed omdat dit opgevat wordt als reis van B naar A met K2.

    Check uit met K2 bij A. Dit wordt opgevat als traject B-A.

    Het lijkt inderdaad theoretisch gezien te werken, alleen is het praktisch erg lastig om de ‘valse’ checkins en checkouts te doen. Daarvoor moet je bij poortjes zijn, en het valt op als je die openmaakt zonder erdoor te lopen. Ook kun je niets doen in B omdat je het station niet uit kunt zonder uit te checken.

  24. Arnoud zei: “Het opvangen van signalen van een wifinetwerk is op zich geen verboden handeling.”

    Mmm… Ik geloof je als je zegt dat het niet verboden is. Maar Google deed dat ook, met als doel hun plaatsbepalings-database te vullen. Maar de bijvangst in de vorm van blokken ander netwerkverkeer heeft toch behoorlijk wat stof doen opwaaien. Terwijl dat natuurlijk net zo vrijelijk beschikbaar was als die plaatsbepalings-data.

  25. oke oke, de plakbandtruc is niet perfect uiteindelijk, ook omdat men er op bedacht is geraakt. Ik ga er van uit dat de OV bedrijven uiteindelijk het systeem beter gaan beveiligen als er gefraudeerd wordt. Zoiets als verkleurende inkt die opdroogt maar dan op het OV tegoed? Een versleuteling van tijd en datum in de kaart of iets dergelijks. Al moet men dat niet vantevoren gaan melden natuurlijk.

  26. Het A, B via C verhaal grafisch weergegeven

    Op lange trajecten denk ik dat het zeker voordeel bied, ik denk alleen niet dat men er veel gebruik van zal maken.

    Nu de OV-chipkaart in de lengte en de breedte gekraakt is wordt het tijd dat TLS op zeer korte termijn met een betere kaart uit de bus (of trein) komt. De kaartlezers kunnen de veiligere alternatieven al aan, een kleine software aanpassing is voldoende en te overzien, maar miljoenen kaarten vervangen wordt een ramp, alleen al de studenten die weer hun fotootje op mogen sturen, formuliertjes mogen aanvragen en dan weer weken kunnen gaan wachten op een kaart.

  27. @Arnoud:

    Probleem: je kunt het station niet verlaten want dan moet je uitchecken. Neem dus aan dat je je zaken op het station afhandelt.
    Nee hoor, je loopt gewoon het station uit zonder uit te checken. Zolang er papieren kaartjes zijn zal dat in ieder geval kunnen, en het zou me niet verbazen als dit op de meeste stations blijft kunnen.

    Het lijkt inderdaad theoretisch gezien te werken, alleen is het praktisch erg lastig om de ???valse??? checkins en checkouts te doen.

    Op dit moment moet je meestal goed zoeken waar de OV-chipkaartpalen staan. Soms staan ze buiten het station. Er is volgens mij geen enkel toezicht op.

    Idealiter neem je C=A, maar ik weet niet of het uitchecken dan lukt. Volgens deze bron wel.

    De vraag blijft: is dit strafbaar?

    Volgens art. 47 lid 2 Besluit personenvervoer 2000:

    Een elektronisch vervoerbewijs is geldig indien:

    a. het een nationaal elektronisch vervoerbewijs of een op grond van de concessie door of namens de concessiehouder afgegeven elektronisch vervoerbewijs betreft,

    b. de reismogelijkheden van het elektronisch vervoerbewijs toereikend zijn voor de te maken reis en het vertrekpunt elektronisch is geregistreerd,

    c. het elektronisch vervoerbewijs, voor zover het op naam is gesteld, overeenstemt met de identiteit van de houder daarvan en

    d. de te betalen vervoerprijs voor de reis ten minste gelijk is aan het tarief dat de gebruiker van het elektronisch vervoerbewijs daarvoor verschuldigd is. Je zou kunnen stellen dat onderdeel d. ervoor zorgt dat kaart 1 tussen C en B niet geldig is, omdat de (nog) “te betalen vervoerprijs” voor de reis lager is dan het tarief dat de gebruiker van kaart 1 daarvoor verschuldigd is… Maar dat blijkt dus pas als de reiziger niet uitcheckt in B, maar op de terugweg in C.

  28. @Arnoud & Piet: Volgens mij mag “strategisch in- en uitchecken” niet. In de voorwaarden Reizen op Saldo NS (pdf), staat in de definitie van Reisroute: “Met uitzondering van de in de Jaardienstregeling vermelde gevallen geldt dat het vertrek- of bestemmingsstation niet voorbij mag worden gereisd.” Als je incheckt in A (vertrek) en uitcheckt in C (bestemming), heb je op het traject C-B je bestemmingsstation voorbij gereisd. Verder mag je zoals Arnoud zegt het station in B niet verlaten; doe je dat wel (lijkt me waarschijnlijk), dan heb je je reis onderbroken en moet je daar uitchecken (art. 2.3).

    Maar goed, zelfs als het niet mag, lijkt het me in de praktijk wel goed te doen. C moet wel op de terugweg een overstapstation zijn, of je moet het niet erg vinden om op de volgende trein te wachten. Volgens art. 2.7 heb je tot de volgende dag 04.00 om uit te checken, dus zolang je minder dan een dag in B blijft, heb je in de praktijk ook geen problemen met het feit dat je wel erg lang over de reis A-C doet.

    Het enige wat fout zou kunnen gaan (zover ik kan bedenken) is dat controles misschien op de kaart worden geschreven. Dus op traject C-B (heenweg) wordt kaart 1 gecontroleerd, en daarvan wordt een melding wordt gedaan op de kaart (ik denk niet dat dat zo werkt, maar misschien is het een tip voor NS/TLS). Als je dan uitcheckt in C, zou een melding gemaakt moeten worden van “h?, je hebt gereisd van A-C, maar bent gecontroleerd buiten dat traject, hoe kan dat?”.

    Mijn conclusie: het mag niet, maar het kan wel.

  29. @Don: Dank je wel!

    Wat ik me nu nog afvraag: ik denk dat deze truc met twee anonieme kaarten moet. Maar is dat niet toch duurder dan een persoonsgebonden kaart? Die geeft immers 40% korting (buiten de spits). Wat is duurder, A-B/B-A met 40% korting of de A-C/B-A truc met twee ‘gewone’ kaartjes?

  30. Stel dat je Hilversum-Haarlem neemt (via amsterdam).

    Ritreis A-B/B-A zonder korting, zonder truc is 7.80 + 7.80 = 15.60 Ritreis A-B/B-A met korting, zonder truc is 4.70 + 4.70 = 9.40 Ritreis A-B/B-A zonder korting, met truc is 5.00 + 7.80 = 12.80 Ritreis A-B/B-A met korting, met truc is 3.00 + 4.70 = 7.70

    Met ??n kortingskaart betaal je dus 9.40 per reis + 45 euro per jaar. Met twee kortingskaarten betaal je 7.70 per reis + 90 euro per jaar.

    Dus moet je minimaal 45 / (9.40-7.70) = 27 keer reizen per jaar. Met 200 werkdagen haal je er dan (200-27)*(9.40-7.70)= 294 euro uit de truc. Maarja, daar ben je wel 173 keer per jaar mee bezig. Is dat hele in-uitcheck gedoe je 1.70 per keer waard? Mij niet.

    Echter heb ik wel gehoord dat je heel eenvoudig langer dan betaald met je kortingskaart kan reizen. Je koopt hem voor ??n jaar, maar de afloopdatum op de kaart toont 5 jaar (om reproductie te besparen). Dus kun je, zolang ze hem niet scannen, langer met je kortingskaart reizen. Maar das dan weer wel echt risico lopen… nu kan je dat risico ook weer terug dringen met wat ‘acteer’werk.

  31. Veel van die ABC truckjes kunnen waarschijnlijk wel, maar niet onopgemerkt.

    Als van A naar C reizen normaal 15 min. duurt, maar er veel mensen bijna een hele dag over doen, dan valt dat zo op in de statistieken. Zeker als die mensen nooit terug reizen van C naar A, maar wel veel mensen van B naar A zonder ooit van A naar B te zijn gegaan.

    Voor het stuk A-C zul je ook steeds dezelfde kaart moeten gebruiken, want het is een prepaid en anders krijg je hem niet op. De conducteur zal je tussen C en B controleren en zien dat dit een kaart is die elke dag van A-C gaat en vermoedt fraude. Conducteur waarschuwt spoorwegpolitie die in dezelfde coupe gaat zitten en wacht tot je de trein verlaat. Politie volgt je en houdt je staande als je ‘vergeten’ bent uit te checken.

    Er valt hier vast wel weer iets op te verzinnen, maar ik denk dat het heel lastig is om het echt ondetecteerbaar te doen. Teveel werk, te onethisch en teveel risico voor de meeste mensen denk ik.

  32. @Arnoud(#40):

    Wat ik me nu nog afvraag: ik denk dat deze truc met twee anonieme kaarten moet. Maar is dat niet toch duurder dan een persoonsgebonden kaart?
    Alleen met K1 doe je rare dingen, dus het lijkt me inderdaad verstandig om daar een anonieme kaart voor te gebruiken. K2 gebruik je volledig legaal en zoals bedoeld. Aangezien je vooral met K2 betaalt, zou het gunstig zijn om voor K2 een kortingskaart te nemen.

    @M V: tja, het gaat natuurlijk tegen de geest van de regels in, maar of je nu echt de regels breekt… eigenlijk pas achteraf als het ware met terugwerkende kracht, nl. op het moment dat je in C uitcheckt met K1. Het uitchecken in C mag volgens mij gewoon, alleen wordt daarmee – achteraf – het reizen van C naar B “illegaal”. Daar zit in ieder geval iets raars in.

    Natuurlijk valt in de AV wel vast te leggen dat je minimaal moet betalen voor de daadwerkelijk gereisde trajecten. En je zou het ook strafbaar kunnen maken om op een verkeerde plek uit te checken (maar wil je dat?).

  33. Is het niet zo dat wanneer het duidelijk genoeg is dat men moet betalen voor een dienst, men gewoon moet betalen?

    Net zoals ik niet in een restaurant kan gaan zitten; zonder menukaart in te zien zeggen dat ik de soep van de dag wel lust; en vervolgens zeg “ja hallo, niemand heeft mij ge?nformeerd dat ik moet betalen!”

    Het pakken van diegene die niet betalen staat hier natuurlijk los van… maar volgens mij is het niet nodig om het wettelijk z? dicht te timmeren dat alle trucjes onwettelijk zijn. Toch? 🙂

  34. @Lepelaar: Ja, en als geen prijs is afgesproken dan geldt een redelijke koopprijs (art. 7:4 BW). Bij diensten zou je naar analogie ook een redelijke vergoeding kunnen vragen. Punt is wel dat duidelijk moet zijn d?t je een betaalde dienst afneemt en wat die gaat kosten. Een veelgehoorde klacht bij dienstverleners is dat ze alleen een uurtarief noemen en niet hoe veel uur ze schatten bezig te zijn. Dan krijg je ineens een factuur voor 30 uur. Ik zou dat zelf nooit durven doen naar klanten.

  35. Dan hoef je als NS dus niet met je AV te gaan rommelen of i.d.

    Een gerelateerd vraagje. Als de NS er nu voor kiest om het hele systeem te be-poorten, zodat je enkel door een poortje naar binnen kan, en enkel door een poortje naar buiten kan, op alle stations. (ook het geval bij veel metrosystemen)

    Dan is het dus zo dat je naar binnen gaat, zij leveren de dienst “van A naar B” en vervolgens laten ze je niet naar buiten tot je betaald voor die dienst. Natuurlijk ben je akkoord gegaan te betalen voor de dienst, door van de dienst gebruik te maken, maar… je vrijheid wordt wel beperkt.

    Stel je voor dat jouw schilder je dwingt in je huis te blijven tot je betaald hebt voor het schilderen.. lijkt me niet mogen. Niet dezelfde schaal, maar toch, wat staat de dienstleveraar toe om je binnen het bepoortte gebied te houden tot je betaald?

  36. @Lepelaar:

    Het pakken van diegene die niet betalen staat hier natuurlijk los van??? maar volgens mij is het niet nodig om het wettelijk z? dicht te timmeren dat alle trucjes onwettelijk zijn.
    Voor strafbaarheid wel. En als het niet strafbaar is, dan zijn allerlei opsporingsmethoden ook niet meer mogelijk.

    Verder is het de vraag wat voor sanctie er kan worden gezet op “strategisch” in- en uitchecken met twee kaarten. Kan een kaart bij detectie ongeldig worden gemaakt? Daarvoor moet m.i. minimaal een min of meer duidelijk geformuleerde regel zijn overtreden.

  37. @48 Piet

    Wat ik van Arnoud begrijp is dat wanneer verwacht mag worden van een afnemer dat hij weet dat de dienst geld kost, dat het ontlopen van betaling dan niet mag.

    Ik eet eten in een restaurant… verwacht mag worden dat ik weet dat ik moet betalen voor deze dienst… dus moet ik betalen. Ik reis met de trein… verwacht mag worden dat ik weet dat ik moet betalen voor deze dienst… dus moet ik betalen.

    Vervolgens niet of minder betalen is daarmee toch automatisch strafbaar? Wanbetaling?

  38. @Lepelaar(#49): Ik zal niet betwisten dat “strategisch” in- en uitchecken met twee kaarten onrechtmatig is. De NS kan het je op die grond verbieden, en kan schadevergoeding vorderen.

    Voor strafbaarheid is het echter nodig dat je een geschreven strafbepaling overtreedt. Als zo’n bepaling niet bestaat, dan ben je niet strafbaar. Zie art. 16 Gw en art. 1 lid 1 Sr.

    De wet zegt dat je strafbaar bent als je reist zonder geldig vervoerbewijs (art. 70 lid 1 Wpv 2000, “Het is verboden zonder hiervoor geldig vervoerbewijs gebruik te maken van het openbaar vervoer”, strafbaar gesteld door art. 101 lid 1 Wpv 2000). Het is echter maar de vraag of je deze regel overtreedt. In de trein kun je op ieder moment een vervoerbewijs laten zien waarvan moeilijk valt te ontkennen dat het geldig is: op reis van A naar B is dat K1, op reis van B naar A is dat K2.

    Stel om 11:00 zit je in de trein op weg van A naar B, ergens tussen C en B. Om 12:00 kom je aan in B. Om 17:00 vertrek je weer uit B, richting A. Om 18:30 check je uit in C.

    Om 11:00 kun je K1 tonen, waarmee je in A bent ingecheckt. Voor zover om 11:00 kan worden vastgesteld, is K1 een geldig vervoerbewijs.

    Om 18:30 verandert die situatie in zoverre, dat vast komt te staan dat je met K1 niet betaald hebt voor de reis van A naar B wat je had moeten betalen. Aan de geldigheidsvoorwaarde neergelegd in art. 47 lid 2 sub d Bpv 2000 (“de te betalen vervoerprijs voor de reis ten minste gelijk is aan het tarief dat de gebruiker van het elektronisch vervoerbewijs daarvoor verschuldigd is”) blijkt dan niet te zijn voldaan. Maar om 18:30 ben je niet in overtreding: op reis van B naar A is K2 zonder meer een geldig vervoerbewijs; bovendien is het uitchecken met K1 in C op zichzelf geen strafbare handeling.

    Is het denkbaar dat je door het uitchecken om 18:30 met terugwerkende kracht om 11:00 strafbaar wordt? Ik kan het mij niet voorstellen.

    Merk op dat je om 18:29 er nog voor had kunnen kiezen om terug te reizen (desnoods met de auto) naar B om daar braaf met K1 uit te checken. Pas om 18:30 zou de situatie van 11:00 strafbaar worden. Maar nogmaals, ik kan mij niet voorstellen dat zoiets mogelijk is. De strafbaarheid van een gedraging om 11:00 (het reizen in de trein) kan niet afhankelijk zijn van wat je ergens na 18:00 doet.

    Vervolgens niet of minder betalen is daarmee toch automatisch strafbaar? Wanbetaling?

    Welke strafbepaling denk je aan?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.