Tag: Bank

About Bank

Subscribe Feeds

Bunq mag AI inzetten voor controleren van klanten op witwassen

Geplaatst op in Ondernemingsvrijheid, Regulering, 30 reacties
RyanMcGuire / Pixabay

Internetbank Bunq mag AI inzetten om witwaspraktijken en het financieren van terrorisme te voorkomen, las ik bij Tweakers. De Nederlandsche Bank had de bank opgedragen om een traditionele, checklist-gebaseerde controle van haar klanten uit te voeren, maar de hoogste financiële bestuursrechter (het CBb) zegt nu dat dit te kort door de bocht was. DNB heeft niet bewezen dat bunq met haar methode van het vaststellen van het doel en de beoogde aard van de zakelijke relatie en de monitoring daarvan niet voldoet aan de open normen van de Wwft, aldus het CBb. De term “inzet van AI” is voor mij dan weer wat voorbarig.

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) bevat een controversiële eis, namelijk dat banken in de strijd tegen witwassen en financiering van terrorisme hun (nieuwe en bestaande) klanten moeten indelen in risicoprofielen, en op die basis ze meer of minder indringend monitoren. Zoals het FD schrijft: DNB vraagt om een analysemethodiek die een vaste set regels volgt en heel precies voorschrijft hoe banken dat moeten doen.

Bunq deed het anders: zij verdeelde haar klanten in twee groepen, de ‘gewone’ klanten en de ‘ongewone’ klanten noem ik ze maar even. De bank had namelijk een profiel van “regular users” gedefinieerd, en je kon daar binnen of buiten vallen:

  • Age: 18-60 year
  • Country of residence: NL, BE, DE, AT, IT, ES, FR
  • Purpose: Standard Payment Account
  • Monthly outgoing transaction volume: EUR 10.000
  • Maximum balance: EUR 10.000
  • Number of payments per month: Up to 150
Onderzoek van Bunq toonde aan dat de “overgrote meerderheid van de particuliere klanten” in dit profiel past en een klein risico met zich meebrengt. Standaard komen nieuwe klanten in dit profiel, en door monitoring van klantgedrag wordt gekeken of de klant er binnen blijft.
Op het moment dat dit niet (langer) het geval is, stelt bunq – afhankelijk van het risicoprofiel van de betreffende klant en de afwijkingen van de klant ten opzichte van het regular user profiel – automatisch een aantal vragen aan de klant. Als een klant deze vragen niet binnen de gestelde periode beantwoordt, wordt de klant toegang tot de rekening (tijdelijk) ontzegd.
Op basis van de antwoorden wordt het profiel van de klant bijgesteld, wat dus meestal zal leiden tot intensievere monitoring. Dat is binnen doel en strekking van de wet, want die schrijft geen specifieke techniek voor. Maar de DNB had er wel grote moeite mee, want Bunq onderzoekt nieuwe klanten niet in detail maar noemt iedereen “regular” totdat er risicosignalen komen. Zoals het CBb het samenvat:
In het bestreden besluit heeft DNB uiteengezet dat uit het gegeven dat bunq een standaardprofiel aan nieuwe particuliere klanten toekent kan worden opgemaakt dat dit profiel niet is gebaseerd op specifiek bij de klant ingewonnen informatie. Een standaardprofiel stelt een instelling verder niet in staat om te bepalen wat nu het doel en de beoogde aard van de zakelijke relatie is, maar leidt enkel tot een aanname van bunq daarover. Dat bunq heeft vastgesteld dat haar particuliere klanten een homogene groep vormen, maakt dat niet anders.
Het CBb concludeert echter dat Bunq wél adequaat handelt. De wet bevat een open norm, en DNB heeft niet inhoudelijk aangetoond waarom Bunq’s methode leidt tot foute of tekortkomende classificaties of monitoring. De standaardrekening is beperkt in wat je ermee kunt doen, de kans op risico op witwassen of financiering is derhalve klein. En bovendien corrigeert Bunq dus snel het beeld zodra de klant de grenzen opzoekt. Dat laatste is precies wat traditionele banken ook doen, want weliswaar moet je daar gedetailleerde formulieren invullen, daar kúnnen mensen immers liegen dus je moet toch continu monitoren wat er gebeurt dat afwijkt van het verwachte.

Het is dat continue monitoring waar die AI – machine learning – een rol speelt, als ik het zo lees. Ik zie wel hoe je met ML makkelijker patronen en uitschieters kunt detecteren, zodat je sneller en met minder handwerk kunt zien waar mensen rare dingen aan het doen zijn. Dit “behoeft geen bespreking meer”, aldus het CBb, want het bezwaar van DNB is kort gezegd dat als je aan de poort te makkelijk bent, je dús tekort schiet bij je continue controle:

Op de zitting van het College heeft DNB ook uiteengezet dat het ontoereikende cliëntenonderzoek aan de poort doorwerkt in de transactiemonitoring. Uit wat hierover onder 8.5.5 en 8.6.4 is overwogen, volgt dat dit uitgangspunt onjuist is. Daarom moet worden geoordeeld dat DNB niet het bewijs heeft geleverd dat bunq geen adequate voortdurende controle op haar zakelijke relatie met haar klanten uitoefent.
Wel was Bunq terecht op de vingers getikt voor het niet opvolgen van vier concrete dossiers met signalen, en het niet goed onboarden van politiek prominente personen (politically exposed persons of PEP). PEPs zijn extra kwetsbare categorieën burgers, zoals directeuren, landelijke politici of rechters. Signalen bij een PEP moeten dus gevoeliger en sneller worden opgepakt.

Bunq is erg blij natuurlijk, een ‘overwinning voor de vooruitgang’ noemt men het in het FD. En ja, het is zeker een goede zaak dat bevestigd is dat de Wwft open normen kent en dat de inzet van ML niet perse ontoereikend genoemd moet worden. Maar de strijd is nog niet gestreden: DNB kan nieuw beleid maken en een nieuw besluit nemen op de onderzoeksmethode van Bunq.

Arnoud

 

 

Hoe de curator toegang kan krijgen tot een administratie in de cloud

Geplaatst op in Ondernemingsvrijheid, 10 reacties

“De curatoren hebben te maken met een grote en machtige Amerikaanse partij die elk risico dat zij mogelijk wereldwijd loopt als gevolg van de sancties, hoe klein ook, koste wat kost wil zien te vermijden en zich daarbij alleen door haar eigen belangen laat leiden.” Oh kijk, dat was een gezellige boel in Amsterdam: cloudleverancier Microsoft weigerde de curatoren van een dochter van de Russische Alfa Bank toegang te geven tot de bedrijfsadministratie, onder meer onder verwijzing naar de EU-sanctieregels tegen Russische bedrijven. Een dilemma zoals we dat vaker horen, de Nederlandse wet zou tot iets verplichten maar vanwege altijd schimmig blijvende “US law” zouden bedrijven daar dan geen gehoor aan hoeven geven.

In april ging de betreffende dochter – de Amsterdam Trade Bank – failliet, mede vanwege sanctieregels: “Leveranciers van bijvoorbeeld software konden door de strafmaatregelen niet langer zaken doen met ATB, waardoor het heel moeilijk was om nog verder te gaan met bankieren”, zo meldde het AD. Dat is op zich een begrijpelijke consequentie van sancties, maar creëert hier wel een bijzonder probleem bij de afwikkeling van datzelfde faillissement.

Je zou zeggen dat dit een klaar klontje was. De Faillissementswet zegt immers in artikel 105b letterlijk dat iedereen die administratie van een failliet heeft, die moet geven:

Derden met inbegrip van accountantsorganisaties en een externe accountant, die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen die administratie en de daartoe behorende boeken, bescheiden en andere gegevensdragers desgevraagd volledig en ongeschonden aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.
Microsoft weigerde echter, en dat ging zelfs zo ver dat niet eens duidelijk was welke partij eigenlijk de administratieve dienstverlening verricht. Daardoor ontstond het basale probleem van wie te dagvaarden, waarop de curatoren maar gewoon een vaste advocaat van Microsoft aanschreven. Men belandde uiteindelijk toch in de rechtszaal, en de ergernis van de rechter spat van het vonnis:
In de aanloop naar dit kort geding heeft (de advocaat van) Microsoft verstoppertje gespeeld door niet kenbaar te maken welke Microsoft-vennootschap moest worden gedagvaard en door nog niets van haar verweer prijs te willen geven.
Ook met de inhoudelijke vraag heeft de rechter weinig moeite. In de Nederlandse wet staat dat de curatoren recht hebben op de administratie, dus die moet Microsoft geven. Dat ze dan wellicht klem komt te zitten met andere wetgeving uit andere landen is haar probleem, maar geen excuus om onze wet te negeren als je in Nederland zaken wilt doen. Bovendien valt het inhoudelijk wel mee, als je die Sanctieverordening goed leest:
Evenmin is aannemelijk dat Microsoft bij het voldoen aan het gevorderde strafrechtelijke of financiële risico’s van enige betekenis loopt. Het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement kan voorshands niet worden aangemerkt als een door de EU Sanctieverordening verboden handeling (het ter beschikking stellen van “economische middelen” die kunnen worden gebruikt om “tegoeden, goederen of diensten te verkrijgen”). Ook ten aanzien van het Amerikaanse sanctieregime geldt dat voorshands niet aannemelijk is dat het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement strijd oplevert met de verplichting eigendommen van gesanctioneerde (rechts)personen te blokkeren en/of strijd oplevert met het verbod die eigendommen over te dragen, waarbij het nog de vraag is of gedaagde sub 3 (Microsoft Ireland Operations Limited) al dan niet (indirect) gebonden is aan het Amerikaanse sanctieregime.
Die laatste is ook een leuke in AVG-verband: de discussie over gebondenheid aan de US Cloud Act versus de Europese AVG gaat over precies hetzelfde probleem, namelijk of je gebonden bent aan beide wetten tegelijk en welke dan wint. Het antwoord is dus: mogelijk ben je aan beiden tegelijk gebonden, en je kunt dus tegenstrijdige vonnissen krijgen uit de VS en Europa en dan is dat even heel vervelend voor jou maar je gaat er wel aan voldoen:
veroordeelt gedaagde sub 3 (Microsoft Ireland Operations Limited) om al hetgeen noodzakelijk is te doen, zodat gegarandeerd is dat de Stichting Vereffening binnen 48 uur na het wijzen van dit vonnis ongehinderde toegang tot, en gebruik van, de volledige Microsoft-omgeving heeft en blijft houden, op straffe van een dwangsom van EUR 10 miljoen voor elke 24 uur na betekening van dit vonnis dat de Stichting Vereffening die ongehinderde toegang tot, of gebruik van, niet of niet volledig (meer) heeft, met een maximum van EUR 100 miljoen.
Een dwangsom van (maximaal) 100 miljoen euro is bij mijn weten in Nederland nog niet voorgekomen, en het is minstens zo opmerkelijk dat deze al na tien dagen aangetikt wordt. Dat onderstreept wel de haast die de rechtbank ziet. En terecht: 23.000 particuliere spaarders van de bank kunnen nu niet bij hun geld.

Arnoud

Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

Geplaatst op in Ondernemingsvrijheid, 18 reacties

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

Banken gaan namen en adressen van internetoplichters geven

Geplaatst op in Privacy, Regulering, 18 reacties

De Nederlandse banken gaan op verzoek de namen en adressen van internetoplichters verstrekken aan slachtoffers van internetfraude. Dat las ik bij Privacynieuws. Slachtoffers kunnen dan via een civiele procedure proberen hun gestolen geld terug te vorderen. Na een gesprek met justitieminister Grapperhaus hebben banken eind vorig jaar besloten om onder voorwaarden de NAW-gegevens te overhandigen.

Het probleem van fraude en oplichting via internet is zo oud als, eh, internet: je weet niet met wie je aan de andere kant zaken doet, dus een fraudeur kan eenvoudig je geld of spullen afhandig maken en ondanks vele beloftes zijn wederprestatie niet nakomen. Of dat oplichting is, is de vraag, maar wie beroep of gewoonte maakt van via internet handelen zonder te leveren is in ieder geval strafbaar. Net als die Whatsappfraudeurs met hun “hoi mam ik ben mijn telefoon kwijt”-oplichterij.

Kom je bij het vervolgpunt: wie moet je hebben? Een anoniem mailadres of snel Marktplaats-account met prepaid 06 is zo gemaakt, en dan sta je dus nergens. Het bankrekeningnummer is vaak het enige aanknopingspunt, alleen blijken banken zich op het (op zich begrijpelijke) standpunt te stellen dat zij niet kunnen zien of er een strafbaar feit is gepleegd en dat ze vanuit privacyoogpunt niet zomaar persoonsgegevens afgeven. Ook stichting Brein kreeg ongelijk toen zij in 2013 deze probeerde te krijgen (ja, met Lycos/Pessers).

In november meldde minister Grapperhaus aan de Kamer dat er over deze situatie gesproken is, en dat er nu een doorbraak is gekomen:

De Nederlandse banken hebben mij naar aanleiding van deze gesprekken recent laten weten te hebben besloten een procedure in het leven te roepen om de NAWgegevens van een fraudeur aan slachtoffers van fraude te verstrekken. Het doel van de procedure is om benadeelden in de gelegenheid te stellen om, onder voorwaarden en met inachtneming van privacywetgeving (zoals de hierna genoemde 21 dagen termijn), met de vermeende fraudeur in contact te kunnen komen. De procedure houdt in dat de fraudeur eerst gevraagd wordt om het geld terug te storten. Als dat niet binnen 21 dagen is gebeurd, worden de NAWgegevens van de vermeende fraudeur verstrekt.
De procedure start nadat het slachtoffer aangifte heeft gedaan. Zo is bekend wie de gegevens eist, en zit er enige check op: valse aangifte is strafbaar, en vanwege de keten slachtoffer-politie-bank-rekeninghouder is het eenvoudig om daar op terug te komen. Ook bij eigenrichting weet je nu snel wie de (mogelijke) dader is.

Blijf je zitten met het probleem van de geldmuilezels: mensen die hun bankrekening verhuren “omdat er toch niets op staat en ik rood staan heb uitgezet”. En dan inderdaad 30% krijgen van het bedrag dat er op gestort wordt. Want met deze procedure kom je daar uit, en niet bij de werkelijke dader. Maar wellicht dat deze nieuwe procedure helpt om katvangers af te schrikken.

Arnoud

Mag mijn bank een voorwaardenwijziging afdwingen via online bankieren?

Geplaatst op in Informatiemaatschappij, 4 reacties

Een lezer vroeg me:

Onlangs logde ik in bij telebankieren van de SNS-bank, en toen kreeg ik een pop-up voorgeschoteld over aangepaste algemene bankvoorwaarden. Daaronder stond: “Ik heb dit hele bericht en de wijzigingen gelezen”. Pas als deze knop wordt geactiveerd kun je je rekening inzien, geld overmaken enzovoorts. Is dat wel rechtsgeldig? Ik voelde me gedwongen akkoord te geven omdat ik een spoedoverboeking moest doen in verband met het einde van het jaar.

Het wijzigen van algemene voorwaarden is in feite niets meer of minder dan een contractswijziging. Een contract mag alleen worden gewijzigd met toestemming van beide partijen. Het is niet echt toestemming te noemen als een van de partijen zo afdwingt dat de ander “akkoord” zegt.

Wat wél mag – en volgens mij wat hier speelt – is dat je in de originele overeenkomst opneemt dat de ene partij die voorwaarden eenzijdig mag wijzigen. Toestemming op voorhand is rechtsgeldig, want die geef je wel vrijwillig. Dus als je in je originele voorwaarden hebt staan dat de SNS Bank deze mag aanpassen, dan mogen ze dat en dan hoeven ze niet meer te doen dan die nieuwe voorwaarden netjes aan je te melden. Volgens mij staat er daarom ook “Ik heb dit bericht & wijzigingen gelezen” en niet “Ik ben akkoord met de wijzigingen”.

Het gaat nogal ver natuurlijk dat iemand op voorhand de voorwaarden aan mag passen. De wet stelt er dan ook een paar grenzen aan, met name dat de gehele inhoud van het contract niet over de kop mag (art. 6:236 sub a BW). En meer algemeen mogen de wijzigingen natuurlijk niet onredelijk bezwarend zijn.

‘Afdwingen’ kan ik dit dus niet noemen.

Als de bank (of een andere dienstverlener met portaal waar je inlogt als klant) wél een wijziging zou afdwingen, dan wordt het interessant. Stel in de oude AV staat niets over mogen wijzigen. Dan kun je natuurlijk wel een verplichte popup tonen, maar die betekent volgens mij heel weinig. Een partij kan niet eenzijdig het contract wijzigen, en dat afgedwongen akkoord lijkt me geen instemming met een wijzigingsverzoek.

Ik aarzel of je dit juridisch “misbruik van omstandigheden” moet noemen (omdat de dienstverlener misbruik maakt van de verplichting tot inloggen) of gewoon “geen rechtshandeling” (omdat de klant niet wil maar moet). Maar legaal lijkt het me niet.

Arnoud

Hoe bewijs ik dat mijn grootouders niet online gokken?

Geplaatst op in Security, 85 reacties

bank-inloggen.pngEen lezer vroeg me:

Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu bewijzen dat zij niet gokverslaafd zijn. Is dat niet de omgekeerde wereld?

Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt. Het kan natuurlijk dat het betreffende draadloze thuisnetwerk niet goed genoeg beveiligd is, maar dat zou alleen verklaren hoe iemand het internet op kon via dat netwerk (en dus met dat IP-adres).

Voor internetbankieren is meer nodig: je hebt bij zo ongeveer alle banken een of ander apparaatje nodig (zie plaatje, de e.dentifier van de ABN Amro) dat werkt met je pinpas. Zonder pinpas zal inloggen op de banksite eenvoudig niet gaan. Kapen van zo’n beveiligde internetverbinding kán natuurlijk maar ik zou dat wel erg knap vinden.

Als het om een aankoop via creditcard is gedaan, dan zou ik wellicht nog denken aan misbruik van gestolen gegevens bij een andere site (zoals een webwinkel). Of Paypal: iemand kan het wachtwoord geraden hebben. Maar het bevreemdt wel dat dan óók het IP-adres van het slachtoffer is misbruikt. Waarom zou een creditcarddief die moeite nemen?

De grote vraag, hoe vervelend ook, is dus of het écht niet mogelijk is dat iemand in het huis dit gedaan heeft. Een huisgenoot, een schoonmaakster, een familielid dat op visite was. Want gezien deze feiten zie ik niet echt een cyber-/hack-verklaring als meest voor de hand liggend.

Hebben jullie nog tips?

Arnoud

De nieuwe veiligheidsregels van de banken

Geplaatst op in Ondernemingsvrijheid, Security, 74 reacties

bank-inloggen.pngEen lezer vroeg me:

De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan ben ik aansprakelijk voor fraude als ik die regels overtreed. Mag dat zomaar?

Deze nieuwe veiligheidsregels zijn door de banken opgesteld (in overleg met de Consumentenbond) maar ze kunnen natuurlijk de wet niet wijzigen. Hoofdregel bij fraude met betaalmiddelen is dat de bank het risico draagt (art. 7:529 BW). De bank heeft het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren. De bank mag de klant een eigen risico geven van €150 bij bij verlies en diefstal (tot het moment van melding) en bij ongeautoriseerd gebruik wanneer de klant de veiligheidsmaatregelen heeft verwaarloosd.

Lid 2 van art. 7:529 BW bepaalt dat bij fraude, opzet en grove nalatigheid van de klant deze zelf het risico moet dragen. Bij fraude en opzet is dat logisch: wie dat soort dingen doet, kan toch niet verwachten dat de gevolgen vergoed gaan worden. Maar bij “grove nalatigheid” is dat toch moeilijker. Wanneer is iemand nalatig? Wanneer is dat grof?

Uit de (schaarse) rechtspraak blijkt dat grove nalatigheid bepaald moet worden aan de hand van alle omstandigheden van het geval. Er zijn geen algemene regels zoals “als je dagelijks controleert of je je pas nog hebt, is het nooit nalatig” of juist “stop je je creditcard in je tas dan is dat altijd nalatig”. Zo achtte het Gerechtshof Arnhem het niet grof nalatig dat een klant na een vermoeden van zakkenrollen wél naging of zij haar portemonnee nog had, maar niet of de pinpas daar nog in zat. Dit maakt het moeilijk om op voorhand te zeggen of in een concrete situatie sprake is van grove nalatigheid.

De bewijslast dat sprake is van grove nalatigheid (of opzet/fraude) ligt bij de bank. En die bewijslast houdt meer in dan zeggen “er is gepind met de pas van klant dùs is sprake van grove nalatigheid.” Er moeten feiten of omstandigheden worden aangedragen door de bank waaruit blijkt dat de klant meer dan normaal slordig was.

Veiligheidsvoorwaarden staan apart in de wet genoemd. Er staat expliciet dat je verplicht bent als klant deze voorwaarden op te volgen (art. 7:524 BW). Doe je dat niet, dan kan de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties. Hij kan ook besluiten dat het eigen risico toch gewoon geldt, of zelfs het eigen risico omlaag doen, afhankelijk van de aard van het misbruikte beveiligingsprobleem. Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen “u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies” gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).

Wat de banken met deze nieuwe regels proberen te doen, is allereerst de regels gelijktrekken, wat op zich prima is. Maar het lijkt óók een poging om eerder te kunnen zeggen “u overtrad de veiligheidsvoorwaarden dús u bent grof nalatig”. Bij de rechter is dat echter geen automatisme, hoewel je met deze nieuwe regels denk ik wel meer uit te leggen hebt.

Een punt hierbij is in ieder geval wel dat er een link moet zijn tussen de overtreding en de fraude. Zo is er een regel die installeren van illegale software verbiedt. Maar het enkele feit dat ik een gekraakte Photoshop op mijn Windowslaptop heb, betekent niet dat schade door een Android-trojan automatisch voor mijn rekening moet komen. Echter, kwam een Windowstrojan mee met die gekraakte Photoshop, dan ga ik wél voor de bijl. De discussie wordt leuk bij een geplunderd Windows-systeem mét illegale software. Wie moet nu bewijzen dat die illegale software wel of niet een trojan meegeleverd heeft? En trouwens, hoe gaat men überhaupt bewijzen dat er iets illegaals op mijn laptop stond?

Omgekeerd staat er echter ook dat als je je aan alle gestelde regels houdt, je per definitie niet grof nalatig was. Dat is immers wat men bedoelt met “weten [consumenten] dan zeker dat de bank de schade vergoedt.”

Arnoud

“Bitcoin-exchange krijgt status van bank”

Geplaatst op in Innovatie, 47 reacties

Bitcoin-Central heeft in Europa de status van bank gekregen, las ik bij Tweakers. Dat is niet helemaal juist: het Bitcoin-wisselkantoor Paymium dat achter Bitcoin-Central zit, heeft een contract gesloten met betalingsprovider Aqoba, die weer samenwerkt met de Franse Crédit Mutuel Arkéa bank. Op grond hiervan mag Paymium geld bewaren voor haar klanten, en dat doet ze in de vorm van Bitcoins. Maar je kunt geen bankrekeningnummer krijgen bij Bitcoin-Central, en overboeken kan al helemaal niet.

Het is wel een mooie stap vooruit in de erkenning van bitcoins als gewoon betaalmiddel, en niet alleen schimmig ruildinges voor transacties die het licht niet kunnen verdragen. Bitcoins zijn als compleet gedecentraliseerd en anoniem betaalmiddel altijd een beetje in dat verdomhoekje blijven zitten helaas.

In die hypetijd kreeg ik veel vragen over de juridische status van bitcoins, maar helaas had ik nooit de tijd om het eens echt uit te zoeken. Gelukkig zijn er andere mensen die dat wel hebben gedaan. Een mooi startpunt is de scriptie van Mark A. Jansen, die onder meer onderzocht wat de Belastingdienst vindt van bitcoins. Dat blijkt verrassend simpel:

Omdat u deze bitcoins kunt inwisselen tegen geld en de bitcoins daarom een bepaalde waarde vertegenwoordigen vormen deze bitcoins een onderdeel van uw vermogensbestanddelen. De waarde dient dan ook aangegeven te worden in box 3.

En ja, dat geldt dan ook voor virtuele goederen in online spellen zoals Second Life of World of Warcraft. Hoe de Belastingdienst hier een controle op uit zou willen voeren, weet ik niet: zouden ze je kunnen verplichten in te loggen op je account en te laten zien wat je hebt en wat dat waard is?

Mark van Cuijk dook dieper op de vraag in hoe je aangifte doet van inkomsten betaald in bitcoins, bv. als je een dienst verleent of als je werkgever je uitbetaalt in bitcoins.

Bitcoins zijn een niet in geld genoten inkomst op het moment dat iemand de beschikkingsmacht over die Bitcoins heeft verkregen.

Als je als werknemer je salaris in Bitcoin ontvangt, zal de Belastingdienst dit dus waarschijnlijk aanmerken als loon in natura.

Helemaal intrigerend wordt het als je bitcoins zelf gaat ‘minen’, wat nog steeds kan hoewel het wel steeds moeilijker wordt. Bij dat mijnen ontstaan nieuwe bitcoins uit het niets, en voor “vermogen dat je uit het niets krijgt” is er geen standaardcategorie bij de belastingaangifte. Ik denk dat het komt te vallen onder gewoon vermogensaanwas, net alsof je het geschonken hebt gekregen.

Update (11 december) Folkert van Heusden zocht uit wat je moet doen als je factureert in Bitcoins:

“In dit geval betekent dit dat als u wegens een levering of een dienst een factuur moet uitreiken, de wisselkoers moet worden genomen die geldt op de dag waarop de factuur is uitgereikt of uiterlijk uitgereikt had moeten worden. Als er gen verplichting tot het uitreiken van een factuur is, dan wordt de omzetbelasting verschuldigd op het tijdstip waarop de ondernemer de vergoeding ontvangt.”

Bij Bitcoinspot hopen ze dat er meer exchanges zullen volgen. Ik ben benieuwd. Voor mijn gevoel zit het systeem nog steeds in een hele diepe niche, en ik vraag me af wat er nodig zal zijn om het net zo mainstream te maken als Paypal of creditcards.

Arnoud

Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

Geplaatst op in Security, 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen.

Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met een eigen risico voor de klant van maximaal € 150.

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Wanneer daarvan sprake is, hangt heel erg van de specifieke situatie af. Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Dat inschatten wanneer nalatigheid grof is, blijkt nog een hele klus. De rechtspraak en uitspraken van de geschillencommissie laat nogal wat situaties zien, van open fietstassen tot portemonnees die met ketting aan de broek vastzitten maar waar dan stiekem de pinpas uit gehaald is.

Wat ik níet vond, waren uitspraken over internetbankieren en wanneer je laten pakken door phishers grove nalatigheid oplevert. Dat je in een criminele truc trapt, is niet automatisch grof nalatig zo blijkt uit een uitspraak over de “tientjestruc” (waarbij je afgeleid wordt door een tientje op de grond zodat men je net gepinde geld kan stelen).

Hebben jullie voorbeelden van wat je wél grof nalatig zou vinden bij internetfraude?

Arnoud

Kun je worden verplicht in te loggen op je internetbankieren?

Geplaatst op in Security, 63 reacties

bank-inloggen.pngHm, intrigerende samenvatting van een rechtszaak: “De stelling van appellant dat vanwege veiligheidredenen niet van hem kan worden verlangd in te loggen op een computer van de gemeente, kan niet worden gevolgd.” Dit in het kader van een procedure over een bijstandsuitkering, waarbij de instantie toegang wilde tot de bankgegevens om te zien of meneer daar daadwerkelijk recht op heeft.

Sinds eind 2007 ontving deze man een bijstandsuitkering, maar na “een signaal van het Inlichtingenbureau” dat hij zo’n 17.000 euro op de bank zou hebben staan wilde men dat toch eens nader onderzoeken. Men verzocht hem dan ook langs te komen met e-dentifier en dergelijke, zodat op kantoor eens kon worden nageplozen in hoeverre dat signaal juist was. Dus ja, “mogen wij even op uw bankrekening kijken hoe dit zit”.

De man weigerde, met een beroep op zijn privacy maar ook met het argument dat de medewerkers van de gemeente zo méér konden zien dan ze met papieren afschriften hadden kunnen zien. Want daar kun je immers irrelevante boekingen zwartmaken. Daarop werd de uitkering ingetrokken met een beroep op het niet nakomen van de inlichtingenplicht.

Wie een bijstandsuitkering aanvraagt, is op grond van de Wet werk en bijstand (Wwb) verplicht alle inlichtingen te geven die “van invloed kunnen zijn op zijn arbeidsinschakeling of het recht op bijstand.” De ambtenaar mag daarom vragen en dan moet je dat afgeven. Het overhandigen van bankafschriften valt daar gewoon onder, bepaalde de Raad eerder. Je mag het weigeren, maar dan mag men de uitkering stopzetten.

Wel is het vast beleid dat je in zo’n geval op de afschriften irrelevante informatie mag zwartmaken, tenzij gegronde redenen bestaan om de uitgaven in te zien, bijvoorbeeld bij een vermoeden van fraude. Dat werkte vroeger omdat je dan authentieke bankafschriften had via de bank. Maar nu met internetbankieren is het allemaal wel érg makkelijk om even wat getalletjes bij te stellen voordat je op de printknop drukt, dus vandaar dat het beleid nu is dat je ter plekke even moet komen internetbankieren.

Is het nu een securityrisico dat je bij de gemeente moet gaan internetbankieren op een brakke Windows XP computer waarvan je geen idéé hebt hoe veel trojans en keyloggers erop staan? Niet volgens de Raad, hoewel dan vooral omdat hij niet had onderbouwd welke risico’s er konden spelen. En ik kan me die ook wat moeilijk voorstellen want overboeken etcetera kan niet zonder zo’n one-time code dus je keylogt maar een eind weg.

Ook de privacy wordt niet op een ontoelaatbare wijze geschonden, aldus de Raad. Natuurlijk, het gaat in tegen de privacy dat men kijkt hoe veel geld je op de bank hebt, maar bij bepaling van het recht op bijstand is dat een essentieel noodzakelijk gegeven en dan is meekijken dus wél toegestaan.

Ik snap de frustratie van de man maar ik zou eerlijk gezegd ook niet weten hoe het anders moet. Jullie wel?

Arnoud