FIOD arresteert 29-jarige ontwikkelaar wiens software verdacht wordt van witwassen met cryptovaluta

stevepb / Pixabay

De fiscale inlichtingen- en opsporingsdienst FIOD heeft op woensdag in Amsterdam een 29-jarige man aangehouden die verdacht wordt van betrokkenheid bij het verhullen van criminele geldstromen door Tornado Cash, een cryptovalutamixingservice. Dat meldde Tweakers onlangs. Het gaf veel ophef: Tornado Cash is niet een dienst van deze man, zelfs niet een stuk software dat hij runt, maar een distributed autonomous organization oftewel een autonoom draaiende dienst waar hij zich niet actief mee bemoeit. Ben je daar wel (strafrechtelijk) aansprakelijk voor?

Tornado Cash is een zogeheten cryptomixer, een dienst waar je meerdere cryptomunten in stopt om dan andere cryptovaluta en/of eenheden terug te krijgen. Daarmee wordt het een stuk moeilijker om iemands cryptobezit terug te traceren tot de historische transacties, zeg maar zoals wanneer je ongezien al je contant geld om zou ruilen voor andere biljetten met andere serienummers. Traceer dat maar eens tot die koffer met gijzelsom van vorig jaar.

Oké, dat was een onaardig voorbeeld want zo schilder ik natuurlijk cryptomixers meteen negatief af als instrument voor criminele activiteiten: witwassen van crimineel geld, verhullen van sporen naar een misdrijf en ga zo maar door. Maar als ik heel eerlijk ben, ik heb grote moeite een legitieme toepassing hiervoor te bedenken. Want ja ik vind dan “het is een neutrale tool waarmee je je privacy beschermt” toch een tikje te generiek als verweer. Of nou ja: naïef. Zeker als ik dan lees dat “minimaal één miljard dollar” (FIOD) van de zeven miljard doorvloeiend cryptogeld vrij zeker crimineel is (14%, andere bronnen komen bij 25%). Dan verwacht je iets meer in de reactie dan obligate opmerkingen over grondrechten.

Bijzonder aan Tornado Cash is dat het niet een dienst is die deze man zelf runt. Het is opgezet als een DAO, zeg maar een softwareapplicatie die op de Ethereum blockchain draait. De ontwikkelaar heeft geen beslissende invloed op wat de software doet, hij kan deze bijvoorbeeld niet aanpassen, ook niet om bugs te fixen. Dat noemen we een “smart contract”, software die zelf beslist wat er gebeurt. In dit geval dan dat alles kan en mag, waaronder witwassen van gestolen geld door Noord-Koreaanse hackergroepen (Lazarus) en de buit van online oplichtingen. Hier botsen dan code as law en statute as law want begin augustus werd Tornado Cash op een sanctielijst gezet vanwege precies zulk witwassen.

De vraag is dan vooral hoe je zoiets kunt handhaven, want een autonoom stuk software juridisch aanpakken, dat gaat niet. Haha, denken techneuten dan, de wet verslagen met een slimme technische truc. Eh nee, denken juristen dan, dan pakken we gewoon de man achter het gordijn en dan houdt het vanzelf op. Vandaar de arrestatie. Ik geef toe: het is een interessante vraag waar jij staat als je iets maakt dat je vervolgens buiten jouw macht vrij laat opereren. Dat gebrek aan controle is een argument waarom jou de gevolgen niet te verwijten zijn.

Ik moest vanwege de vakantie denken aan de Strandbeesten van kunstenaar Theo Jansen: autonome, door de wind voorgedreven constructies die beoogd zijn om autonoom te leven op het strand. Stel zo’n Strandbeest loopt over een slapende zonne-aanbidder heen, met verwondingen tot gevolg. Zouden we dan zeggen dat het Beest aansprakelijk is, of zou de politie toch bij Jansen uitkomen als schuldige aan mishandeling?

Oh, en alvast vooraankondiging: dit soort issues leren begrijpen inclusief wat code as law nu echt betekent? Dan voorintekenen voor ons nieuwe boek!

Arnoud

23 reacties

  1. Ik heb er toch wat ongelukkig mee. Kijk, 15 tot 25% van de transacties gaat dus om crimineel geld, maar 75 tot 85% is dus gewoon normaal legitiem. Het is dus duidelijk niet zo dat de tool bij uitstek of vooral gemaakt is om criminaliteit te faciliteren. De wens voor privacy bij een cryptocurrency is een legitiem doel op zich. Kan je een fabrikant van koksmessen aansprakelijk stellen voor misbruik van die messen bij steekpartijen en overvallen? Is Audi verantwoordelijk voor ramkraken? Is Bahco verantwoordelijk als iemand een koevoet gebruikt om in te breken? En als nee, wat is het verschil dan?

    1. Nou ja, nergens is vastgesteld dat de rest dús legaal is. Voor mij is die 15 tot 25 meer, daarvan is het zéker. Het is guilt by association maar toch: als 15% van een nachtclub drugs blijkt te hebben gebruikt, is de rest dan zeker weten geheel vrij van drugs? Het voelt onwaarschijnlijk.

      Ik vind de vergelijking met koksmessen en auto’s niet eerlijk. Daarvan is het legitieme doel evident, en dat ontbreekt echt bij cryptomixers. Ik vind dat je best afzonderlijk kunt eisen dat een product of dienst een maatschappelijk relevante functie heeft; enkel “het is niet verboden” is te mager, zeker als 15-25% van het gebruik in strijd met andere wetgeving blijkt.

      1. Ik begrijp je redenatie, maar ik heb een andere mening. Kijk, uitgaande van het rechtsbeginsel onschuldig totdat het tegendeel bewezen is, is die 75 tot 85% onschuldig. En ik vind wel degelijk dat er een volkomen legitiem doel is bij een cryptomixer. Niet alleen is privacy in en van zichzelf wat mij betreft een legitiem doel, maar denk bijvoorbeeld ook aan mensen in andere landen met bepaalde regimes die zich veilig online negatief willen uitlaten over dat regime en daarom een digitale dienst willen afnemen en anoniem willen blijven voor hun eigen veiligheid. Of mensen in landen met een streng gecontroleerd of niet functioneel financieel systeem. Iemand uit een land waar het enige toegestande boek een oud religieus werk is en waar alle andere (westerse) literatuur verboden is maar die toch online e-books wil kopen. Ik noem maar wat, ik schud zo nog tientallen van dit soort voorbeelden uit m’n mauw. Lijken mij volkomen legitieme doeleinden. Oprechte vraag: vind jij dat dit ook legitieme doeleinden zijn, of vind je van niet?

        1. Dat rechtsbeginsel gaat over strafzaken, we hebben het hier over de maatschappelijke acceptatie van cryptomixers. Dat is een paar stappen eerder in het proces. Als de politie bij een nachtclub merkt dat 15 tot 25% van de bezoekers drugs bij zich heeft, lijkt me dat reden genoeg om eens undercover naar de rest te gaan kijken toch? Dan zijn die anderen nog zeker niet bewezen schuldig, maar we vinden dit voldoende grond voor nader onderzoek.

          Ik begrijp je insteek en snap je voorbeelden, maar realiseer je dat dit precies de sleetse, generieke voorbeelden zijn waar al twintig jaar lang heel veel diensten mee komen terwijl in de praktijk de gebruikers een heel ander profiel hebben. Het doet denken aan bijvoorbeeld dat je via Bittorrent Linux kunt downloaden of via een vpn Wikipedia kunt lezen vanuit een censurerend land. Klopt, maar de kans lijkt me een stuk groter dat men via Bittorrent recente films of series downloadt.

          Je komt dan bij hoe een dienst zich in de markt zet, en dan zijn theoretische suggesties over wat er zou kunnen niet zo heel relevant. Er is ook een enorm verschil tussen zo’n groene-letters-op-zwarte-achtergrond booter site (die je een vpn aanraadt en alleen in bitcoin betaald wil worden) en een bij de KVK ingeschreven securitydienst die pentesting en stresstesting doet op basis van offerte en handtekening. Beiden doen ddos op bestelling, toch vind ik die eerste geen legitiem doel hebben.

          1. Ja dat is zo, maar dat is wel heel makkelijk geredeneerd vanuit West-Europa, waar het nog mogelijk is om online kritiek te uiten op het beleid van de regering (Alhoewel, er zijn ook genoeg mensen die politie aan de deur hebben gehad na kritische uitlatingen over azc’s e.d. op social media, maar goed). Het is minder makkelijk als je in Thailand woont en kritiek wil uiten op de koning, of als je in Saudi-Arabie wil pleiten voor gelijkheid voor vrouwen en homosexuelen. Ik vind ze, in tegenstelling tot de sleetse, generieke voorbeelden die gebruikt worden om te pleiten tegen online privacy (kindeprorno, terrorisme) veel breder. En natuurlijk, als je weet dat een kwart van de bezoekers van een nachtclub drugs bij zich heeft, dan is het zeker niet onredelijk om te schatten dat het werkelijke percentage eerder rond 50% zal liggen. Maar is dat van zichzelf voldoende argument om de hele club te sluiten? Of moeten we accepteren dat het nachtleven nu eenmaal altijd mensen aantrekt die vaker drugs gebruiken? Ik heb er gewoon een probleem mee dat we een hele dienst die van nut is voor mensen die hun mensenrechten willen uitoefenen (bijv, informatie zoeken ongeacht grenzen) zouden opschorten alleen omdat we weten dat een kwart illegale dingen doet, en daaruit dan afleiden dat in werkelijkheid de helft illegale dingen doet. We arresteren ook niet zonder enige aanleiding mensen die nmap downloaden omdat minstens 50% van de nmap gebruikers hackers zijn. De voorbeelden zijn misschien sleets en generiek, maar daarom zijn die handelingen niet minder belangrijk. De hele aard van die dienst maakt het ook dat je niet hele specifieke, individuele voorbeelden kan geven; als je dat zou kunnen dan heeft de dienst gefaald. Dit is waarom de meest bekende (prijswinnende, speeches gevende) voorvechters van mensenrechten inmiddels in de gevangenis zitten in landen in Zuid-Oost Azie en Rusland. Ik begrijp niet waarom we wel de mond vol hebben van beschermen van minderheden en mensenrechten maar als puntje bij paaltje komt dan is bestrijding van witwassen toch belangrijker en rollen we de hele dienst maar op omdat een subset van gebruikers waarschijnlijk illegale dingen doet. Maar goed, ik vrees dat we nu argumenten heen en weer aan het gooien zijn op een soort welles-nietes achtige manier.. Ik begrijp je redenatie, en ik respecteer je mening volkomen, maar ik ben het er principieel mee oneens.

            Laatste, eveneens oprechte vraag ook: Zou je het terecht vinden als de ontwikkelaar van een netwerk-scanning tool als nmap zou worden gearresteerd (de tool van Internet halen gaat niet lukken, dus dan maar de maker aanpakken immers) als die op vakantie is in een land met strenge anti-hack wetgeving, als je hard kan maken dat minstens 15 tot 25% van het gebruik bedoeld is om te hacken en aannemelijk kan maken dat het in werkelijkheid 50% is? Die schatting lijkt me heel redelijk, ondanks de vele legitime doeleinden van de tool.

            1. Ik denk dat de kern er voor mij in zit hoe een dienst zich profileert. Ik zie bijvoorbeeld dat Tornado Cash die typische groene-letters-op-zwarte-achtergrond interface gebruikt, dat is voor mij een rood vlaggetje. Ook het overig taalgebruik geeft mij niet de indruk dat men zich bezighoudt met het beschermen van mensenrechtenvoorvechters, zal ik maar zeggen. In die context voelt het te makkelijk om even snel te roepen “we zijn een privacydienst” en “Oeigoeren kunnen zo veilig betalen” of iets dergelijks. Je moet door je acties laten zien waar je voor staat, niet met een paar mooie frases, zeker niet als die lezen alsof je ze uit andermans manifesto gekopieerd hebt.

              Ik zag PGP voorbij komen. Zimmermann heeft die tool expliciet gepositioneerd als bedoeld voor activisten, de handleiding ademt dat ook, de directe aanleiding was repressieve (dreigende) wetgeving in zijn eigen land, en hij erkent dat ook kwaadwillenden het kunnen gebruiken maar motiveert waarom hij desondanks de tool uitbrengt. Daarmee heeft hij baanbrekend werk verricht en voor encryptie voor de massa een legitimering bevochten. Daar was niets sleets of gemakkelijks aan. Dát is denk ik wat ik verwacht bij een nieuwe dienst in zo’n situatie. Je moet zelf moeite doen om je positie te verdedigen, je bestaan te rechtvaardigen, als er zo duidelijk een maatschappelijk negatieve use case is.

              Het helpt dan als je je bedrijf ook daadwerkelijk nadrukkelijk richt (of mede richt) op die doelgroep. Heb je handleidingen voor onderdrukte minderheden, sponsor je projecten om journalistiek in dictaturen mogelijk te maken, bied je korting aan arme onderzoekers of klokkenluider-projecten die hun informanten met bitcoin willen betalen? Dat zie ik allemaal niet bij Tornado Cash. En dan denk ik, leuk bedacht maar ik geloof je gewoon niet.

              1. die typische groene-letters-op-zwarte-achtergrond interface gebruikt, dat is voor mij een rood vlaggetje.

                O ja, groen en zwart is voor jou rood. Ik ga haast denken dat je kleurenblind bent? |;)

                Ik gebruik dat groen op zwart ook wel eens, als nostalgie aan een van de eerste fatsoenlijke teksteditors waarmee ik op MSDOS weer kon werken na mijn 1e Unix-periode: Norton Edit, ne.

          2. Ja dat is zo, maar dat is wel heel makkelijk geredeneerd vanuit West-Europa, waar het nog mogelijk is om online kritiek te uiten op het beleid van de regering (Alhoewel, er zijn ook genoeg mensen die politie aan de deur hebben gehad na kritische uitlatingen over azc’s e.d. op social media, maar goed). Het is minder makkelijk als je in Thailand woont en kritiek wil uiten op de koning, of als je in Saudi-Arabie wil pleiten voor gelijkheid voor vrouwen en homosexuelen. Ik vind ze, in tegenstelling tot de sleetse, generieke voorbeelden die gebruikt worden om te pleiten tegen online privacy (kindeprorno, terrorisme) veel breder.

            En natuurlijk, als je weet dat een kwart van de bezoekers van een nachtclub drugs bij zich heeft, dan is het zeker niet onredelijk om te schatten dat het werkelijke percentage eerder rond 50% zal liggen. Maar is dat van zichzelf voldoende argument om de hele club te sluiten? Of moeten we accepteren dat het nachtleven nu eenmaal altijd mensen aantrekt die vaker drugs gebruiken? Ik heb er gewoon een probleem mee dat we een hele dienst die van nut is voor mensen die hun mensenrechten willen uitoefenen (bijv, informatie zoeken ongeacht grenzen) zouden opschorten alleen omdat we weten dat een kwart illegale dingen doet, en daaruit dan afleiden dat in werkelijkheid de helft illegale dingen doet. We arresteren ook niet zonder enige aanleiding mensen die nmap downloaden omdat minstens 50% van de nmap gebruikers hackers zijn.

            De voorbeelden zijn misschien sleets en generiek, maar daarom zijn die handelingen niet minder belangrijk. De hele aard van die dienst maakt het ook dat je niet hele specifieke, individuele voorbeelden kan geven; als je dat zou kunnen dan heeft de dienst gefaald. Dit is waarom de meest bekende (prijswinnende, speeches gevende) voorvechters van mensenrechten inmiddels in de gevangenis zitten in landen in Zuid-Oost Azie en Rusland. Ik begrijp niet waarom we wel de mond vol hebben van beschermen van minderheden en mensenrechten maar als puntje bij paaltje komt dan is bestrijding van witwassen toch belangrijker en rollen we de hele dienst maar op omdat een subset van gebruikers waarschijnlijk illegale dingen doet.

            Maar goed, ik vrees dat we nu argumenten heen en weer aan het gooien zijn op een soort welles-nietes achtige manier.. Ik begrijp je redenatie, en ik respecteer je mening volkomen, maar ik ben het er principieel mee oneens. Nog wel een laatste vraag: Wat zou je er van vinden als de hoofdontwikkelaar van de nmap tool, op vakantie in een land met strenge anti-hack wetgeving, zou worden gearresteerd? Het is niet zo’n probleem om aan te tonen dat minstens 25% van het gebruik kwaadaardige bedoelingen heeft, en je kan zeker wel aannemelijk maken dat minstens 50% en in realiteit waarschijnlijk aanzienlijk meer van het gebruik illegale bedoelingen heeft. Die tool van Internet halen gaat niet meer lukken, dus op dezelfde wijze geredeneerd dan maar achter de ontwikkelaar aan.

  2. Ik snap niet hoe het aanpakken van de man achter het gordijn er voor gaat zorgen dat het dan vanzelf gaat ophouden. Als ik het goed begrijp is hij enkel de ‘uitvinder’, klopt dat? Dan is het een beetje als niet de leverancier van cryptotelefoons oppakken en tot 4,5 jaar veroordelen, maar de uitvinder van de cryptotelefoon oppakken. Tsja, dat vind ik niet effectief en wrang, haast wrok.

    1. “Het laten ophouden” is niet de enige reden waarom we mensen oppakken, het gaat toch zeker ook over bestraffen van gedrag uit het verleden. Als hij de constructie van een DAO niet had gehad, dan was hij gewoon de beheerder van een SaaS-dienst geweest zoals er vele zijn. Het is een interessante vraag óf je nog aansprakelijk bent voor wat je dienst doet nadat je deze in autonome modus hebt gezet en er niets meer aan kunt veranderen.

  3. Ik heb even moeten nadenken over jouw analogie met de autonome strandbeesten en ik denk dat die niet helemaal opgaat. Ja, een “autonoom strandbeest” loopt in Renesse over een handvol zonnebaders heen, met enige schade tot gevolg. Dit strandbeest is echter een door een groep Duitse knutselaars gemaakte kopie, naar een ontwerp van Theo Jansen. Is het nu terecht dat justitie Theo oppakt?

    Onze programmeur is de maker van het ontwerp, maar het is onduidelijk wat zijn/haar verdere betrokkenheid bij de ingebruikname en het gebruik van de software is. Dat is wel van belang voor het bepalen van hoe groot zijn betrokkenheid bij witwassen is.

      1. Strict genomen waarschijnlijk niet. Op het moment dat iemand de software kopieert, is die de persoon die verantwoordelijk is voor het maken van die kopie en wat die allemaal doet. De oorspronkelijke auteur is slechts verantwoordelijk voor het schrijven van het abstracte werk (en eventuele “foute” zaken die inherent zijn in dat abstracte werk), niet voor een eventuele kopie als die “fout” wordt ingezet. Ik vind het voorbeeld van de kopie strandbeesten dus een goede.

        Dat daarmee iedereen die een node heeft waarop de DAO draait wel verantwoordelijk is: het zij zo. Dat is net zo als slimmigheden als een bepaald verboden stukje informatie (bijvoorbeeld KP) in de bitcoin block-chain opnemen: daarmee maak je het niet onuitwisbaar, maar dwing je alle nodes om die bepaalde node te wissen om aan de juiste kant van de wet te blijven.

      2. Ik lees alleen expliciet dat hij/zij de software geschreven (ontworpen) heeft, niet dat hij/zij het script ook “live gezet” (voor gebruik beschikbaar gemaakt) heeft. Bij witwassen gaat het om de dienstverlening, maar het is in deze context van autonome contracten onduidelijk wie deze dienstverlening nu eigenlijk uitvoert. Er is een argument te maken dat de dienstverlening door het collectief van blokchainbeheerders uitgevoerd wordt.

        1. Goed punt, ik kan ook alleen berichten vinden (zoals deze) dat deze meneer een contributor was maar zeker niet de lead laat staan de eindbeslisser. Dat doet niet af aan de vraag “ben je aansprakelijk voor wat er gebeurt nadat software als DAO gebruikt wordt” maar als jouw bijdrage aan de software kleiner is, dan zal je aansprakelijkheid sowieso minder zijn lijkt mij.

          1. Ik denk dat we heet heel behoorlijk eens zijn. Met FIOD dat de verdachte een betrokkene is, maar of zijn invloed en bijdrage groot genoeg zijn om aan strafrechtelijke medeplichtigheid te voldoen is (wat mij betreft) nog een open vraag.

  4. Zit het hem niet vooral in context van de software?

    Als een software ontwikkelaar mee werkt aan Arduino software voor bewegingsdetectie, en twee maanden later is er een bom aanslag met zo’n bewegingsdetectie… dan kun je hem niet direct verantwoordelijk maken voor het leveren van wapens aan terroristen en/of vrijheidsstrijders. Immers, bewegingsdetectie heeft vele civiele toepassingen.

    De verdediging die de 29-jare ontwikkelaar dus zou moeten aandragen; is dat zijn software voor meerdere normale zaken inzetbaar is, en niet alleen maar voor criminele doeleinden. Dit lijkt mij echter nog vrij lastig, aangezien de meeste burgers niet wekelijks zakken met buitenlandse valuta uitwisselen om zo hun privacy te waarborgen.

    Ik vidt het dus wel redelijk om de ontwikkelaar te vervolgen in de context van wapen-export restricties: Als je geen brave burgers als klant hebt, ben je crimineel bezig. Zie ook Signal vs Encrochat.

    Ik weet allen nog niet met hoe de straf-eis in kaart moet worden gebracht. Eenmaal geschreven is de geest uit de fles en zal deze software voor altijd geld kunnen witwassen. Moet de 29-jarige levenslang krijgen omdat hij na het uitzitten van zijn eerste gevangenisstraf, meteen weer opgepakt kan worden voor alle witwaspraktijken tussen zijn eerste veroordeling en zijn vrijlating?

  5. Want ja ik vind dan “het is een neutrale tool waarmee je je privacy beschermt” toch een tikje te generiek als verweer.

    Tjah, ik niet. Vroeger was misschien het uitwisselen van versleutelde berichten voorbehouden aan overheden en criminelen, tegenwoordig doet ‘iedereen’ (bijv. Whatsapp) dat.

    Of neem een Aaron Swartz, die ooit het mac-adres van z’n wifi-kaart continue liet veranderen om te voorkomen dat hij getracked werd. Dat werd gezien als bewijs voor criminele activiteiten; een paar jaar na zijn dood bouwde Apple precies die functionaliteit in en zette het voor iedereen by default aan.

    Bij Bitcoin of Ethereum is natuurlijk heel de ledger openbaar, en waar Bitcoin nog verschillende UTXO’s heeft die samen 1 wallet vormen, heb je bij Ethereum gewoon 1 wallet adres. Stel dat ik daarmee ooit naar jou 1 ETH overmaak, dan heb je mijn walletadres, en kan je vanaf dat moment al mijn transacties volgen. Natuurlijk kan ik dan een keer een nieuw wallet adres aanmaken, en alles van de oude naar de nieuwe overmaken, maar met een beetje analyse heb je dat wel door.

    Daarom is er echt wel iets te zeggen voor een dienst die van alles op een grote hoop gooit en het weer naar rato verdeelt. Juist zodat als ik ooit aan iemand mijn wallet-adres gegeven heb, die persoon niet tot in lengte van dagen al mijn financiele activiteiten kan tracken.

    De enige reden om niet zo’n mixer te gebruiken is paradoxaal genoeg dat er zo spastisch over gedaan wordt, dat je er rekening mee moet houden dat al je funds min of meer waardeloos worden omdat men geld dat ooit op die rekeningen heeft gestaan weigert.

    Alsof je euro-biljetten bij geen enkele kassa ooit meer geaccepteerd worden omdat die >20 jaar geleden in aanraking is geweest met cocaine.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.