Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 15 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

De perfecte misdaad: afpersing of bitcoins betalen?

| AE 6765 | Informatiemaatschappij | 13 reacties

notice-extortion-bitcoin-ddosDit is een van de weinige misdrijven die ik écht computercriminaliteit zou noemen. Heel veel ‘cybercrime’ komt in feite neer op “het gebeurt nu op de computer”, terwijl je dat net zo goed gewoon offline zou kunnen doen. Maar mensen afpersen via internetbedreiging gekoppeld aan een bitcoinbetaling, dat lijkt me een echt internetcriminaliteitsdinges.

BoingBoing meldde vorige week dat Amerikaanse bedrijfjes brieven krijgen van het soort “betaal ons 3 bitcoin of we gaan je site platgooien, nare reviews achterlaten overal, Meld Misdaad Anoniem bellen over een wietplantage bij je thuis, de Inspectie SZW informeren over asbest in je winkel of een SWAT team bellen dat jij iemand bedreigt met een pistool”. En dat zijn best wel nare bedreigingen voor een kleine ondernemer.

Is het strafbaar? Jazeker, afpersing is een misdrijf (art. 317 Strafrecht). Er is zelfs een specifieke bepaling over cyber-afpersing, lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

In de VS kennen ze vergelijkbare regels, hoewel ik geen specifieke Amerikaanse wet ken over cyber-afpersing (waar dit lid 2 over gaat).

Natuurlijk, dit kan in theorie ook met contant geld. Alleen: a) een grote hoeveelheid contant geld afleveren is gedoe en b) je hebt dan een traceerbaar of althans observeerbaar afleveradres nodig. En daar kan de politie dan in hinderlaag gaan liggen.

Dus ja. Strafbaar. Maar wat dóe je eraan?

Arnoud

Gaat Getty Images procederen in Nederland?

| AE 2502 | Intellectuele rechten | 924 reacties

geen-getty.pngIn 2009 blogde ik over de diverse blafbrieven die het stockfotobedrijf rondstuurde naar alles en iedereen dat een foto van haar zou gebruiken. Ik heb er tientallen gezien, met bedragen variërend van enkele honderden tot vele duizenden euro’s. Allemaal verstuurd vanaf het Ierse Getty, en vaak ook nog alleen in het Engels. Maar wie de foto meteen weghaalde en niet in discussie ging, hoorde er niets meer van.

Nu lijkt daar verandering in te zijn gekomen. Hoewel Getty Ierland nog steeds brieven stuurt, is nu ook het Nederlandse Van der Steenhoven Advocaten (“Een gerust gevoel”) bezig met het leggen van eisen. En dat wijst er toch wel op dat men wil doorpakken: een Nederlandse advocaat huur je als Iers bedrijf niet in te blaffen maar om te bijten.

Wel lijkt het erop dat men zich beperkt tot de grote gevallen. De sommatiebrieven van Van der Steenhoven die ik heb gezien, zijn allemaal voor vele duizenden euro’s – het record lag iets boven de 20.000. Ja, 20.000 euro voor gebruik van enkele foto’s op een website. En dat terwijl de prijscalculator bij Getty eerder tientjeswerk oplevert dan honderden, laat staan duizenden euro’s.

Hoe dan ook, wie een Getty-sommatie krijgt via deze Nederlandse advocaat doet er goed aan zelf ook een advocaat te zoeken, en wel onmiddellijk. Want alleen weghalen helpt niet – wie geen inhoudelijk verweer voert of de hoogte van de claim betwist, mag het volle pond betalen.

Het Bredase IE-kantoor BRight Advocaten heeft zich gemeld: ook zij zetten graag de tanden in uw Getty-claims, tegen gereduceerd tarief. Andere beschikbare advocaten zijn Teun Burgers, IE-advocaat bij Cordemeyer & Slager, IE-advocaat Quirijn Meijnen, Van der Aa & Koers Advocaten en Louwers Advocaten. Ook advocaat Filip Van Eeckhoutte zet zich graag in tegen een gereduceerd tarief voor particulieren en ZZP’ers, net als advocatenkantoor yspeert vwl en QuestIE advocatuur.

Elke andere IE-advocaat die voor een redelijk tarief gedupeerden wil helpen, mag zich hieronder (of per mail) bij mij melden en wordt dan ook hier vermeld.

Update (3 oktober 2011) bij TROS Radar aandacht voor Getty, met bijdragen van advocaten Teun Burgers, BRight Advocaten en Eveline Kubbenga. En nog steeds niemand die is aangeklaagd.

Arnoud