Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Is achterafbetalen een wettelijk beveiligingsgat?

| AE 10739 | Ondernemingsvrijheid | 53 reacties

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder het doorheeft, ben jij allang weg met het pakket. Volgens de politie zijn er jaarlijks ‘honderden slachtoffers’ van deze vorm van fraude. Wat in de comments de vraag opriep: waarom bieden winkels dan nog achterafbetalen aan?

Nou ja, omdat dat moet van de wet natuurlijk. Artikel 7:26 lid 2 BW bepaalt dat een consumentkoper tot hooguit 50% vooruitbetaling kan worden gedwongen, en internetaankopen tellen nu eenmaal als vooruitbetaling omdat de levering altijd later gebeurt. Je kunt mensen niet zomaar afstand laten doen van dit recht, in ieder geval niet in je algemene voorwaarden of iets dergelijks generieks.

Het probleem is natuurlijk dat deze wijze van afrekenen specifiek in de internetcontext fraudegevoelig is. Stuur het pakket naar adres A, en de factuur later naar B. Tegen de tijd dat B aangesproken wordt op wanbetaling, is het pakket al lang weg bij A. En die heeft dan weer geen idee wie het heeft opgehaald.

Natuurlijk kun je als winkel je hiertegen proberen te wapenen, bijvoorbeeld door geen bestelling van nieuwe klanten te accepteren op achterafbetaling als er een ander afleveradres wordt opgegeven. Maar daarom zijn zulke accounts waardevol: die hebben een koopgeschiedenis en zijn daardoor vertrouwd, dus als daar een keer een ander adres komt, dan is dat prima. En dan gaat het dus mis.

Achteraf betalen is dus een wettelijk recht, maar specifiek bij accounts is er denk ik wel een truc: laat mensen in hun accountinstellingen bepalen dat zij afstand doen van deze optie. Dat mag van de wet (art. 7:6 BW, dit is geen algemene voorwaarde), en zo voorkom je dat je account wordt misbruikt met deze manier. Natuurlijk kan de dief de optie weer aanzetten, maar als je het combineert met “eerst een bestelling naar je huidige adres” dan is de impact te overzien.

Wie weet een betere?

Arnoud

Telt inroepen van PayPal aankoopbescherming als annulering?

| AE 9478 | Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me:

Bij een webwinkel had ik wat besteld, en betaald met Paypal. Het object kreeg ik echter maar niet, dus ik heb via PayPal de Aankoopbescherming ingeroepen. De verkoper reageerde echter niet, waardoor ik mijn geld terugkreeg van Paypal. Maar nu eist de verkoper via een incassobureau betaling, en zeggen ze dat ik alleen maar een stornering heb gedaan maar dat de overeenkomst nog steeds staat! Hoe zit dat nu?

De Aankoopbescherming van Paypal is een dienst van het betaalbedrijf waarbij je een geschil wegens geen of afwijkende levering kunt aankaarten. Je hebt 180 dagen vanaf de betaaldatum om dat te doen, en Paypal laat de verkoper dan reageren. Komen partijen er zo niet uit, dan kan het geschil omgezet worden naar een claim, wat inhoudelijk vooral betekent dat PayPal zich er dan inhoudelijk mee gaat bemoeien.

Dat bemoeien betekent in feite dat ze dan inhoudelijk beslissen en wel bindend:

Wanneer een geschil in een claim is omgezet, zal PayPal een uiteindelijke beslissing nemen in het voordeel van de koper of van de verkoper. … PayPal behoudt zich het recht voor naar eigen inzicht een beslissing te nemen in het voordeel van koper of verkoper, op basis van criteria die PayPal passend voorkomen. Wanneer PayPal een eindbeslissing neemt in het voordeel van koper of verkoper, dienen beide partijen zich naar deze beslissing te schikken.

Die laatste zin met name lees ik als een bindend besluit, zeg maar net zoals de Rijdende Rechter adviezen geeft waar je je bij neer te leggen hebt. De winkel kan dan dus niet meer alsnog betaling vorderen. Het is dus wezenlijk anders dan enkel je betaling ongedaan maken, zoals bij veel creditcards mogelijk is. Enkel storneren is nog geen annuleren (ontbinden).

Juridisch is het mogelijk om af te spreken dat een derde een geschil gaat oplossen en dat je hangt aan zijn of haar beslissing. Art. 7:900 BW en verder werken deze zogeheten vaststellingsovereenkomst uit. Het is dus toegestaan om dit in algemene voorwaarden af te spreken. Als consument kun je daar onderuit – zo’n algemene voorwaarde staat op de zwarte lijst, tenzij de consument de mogelijkheid krijgt om alsnog naar de gewone rechter te stappen. Maar als bedrijf hang je als dat in de voorwaarden staat.

Het verbaast me wel dat een winkel niet zou merken dat PayPal een geschil had voorgelegd. Heeft iemand als winkelier daar ervaring mee? Krijg j dat te horen of moet je zelf kijken of er nieuwe geschillen zijn?

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

Vanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd… Lees verder

Niet kunnen betalen wegens iDeal-storing is het probleem van de winkelier

| AE 7993 | Ondernemingsvrijheid | 13 reacties

Stel je koopt online een ticket voor een festival dat morgen begint, en iDeal heeft een storing. Wat moet je dan als consument? Nou, niet naar de andere kant van Nederland reizen om contant te betalen. Dat maak ik op uit een recent vonnis van de rechtbank Utrecht. En de ticketverkoper kan ook niet eisen… Lees verder

Hoe bewijs ik dat mijn grootouders niet online gokken?

| AE 6731 | Security | 85 reacties

Een lezer vroeg me: Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu… Lees verder

Rechtbank: Bitcoin is geen geld maar slechts ruilmiddel

| AE 6647 | Innovatie | 58 reacties

Bitcoins zijn in Nederland geen geld. En als je bitcoins koopt maar niet geleverd krijgt, kun je de wisselkoerswaarde niet als schade claimen. Dat bepaalde de rechtbank Overijssel vorige week in bij mijn weten de eerste rechtszaak ooit over de cryptovaluta. Uit het vonnis blijkt dat de partijen op 8 augustus 2012 hadden afgesproken dat… Lees verder

Mogen kinderen betalen in sociale games?

| AE 2708 | Informatiemaatschappij | 44 reacties

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien-… Lees verder

Nee, als webwinkel mag je géén vooruitbetaling eisen

| AE 2696 | Ondernemingsvrijheid | 61 reacties

Bij consumentenzaken is het zoeken naar jurisprudentie, want wie gaat er nou procederen over een relatief laag bedrag? Maar dankzij een zekere online fietsenwinkel die het wel vaker op procedures aan laat komen, hebben we er weer eentje bij: een winkel mag niet eisen dat de consument 100% vooruitbetaalt wanneer deze iets wil laten bezorgen…. Lees verder

Acceptgirokosten nu weer wél onredelijk bezwarend

| AE 2571 | Ondernemingsvrijheid | 19 reacties

Het blijft maar heen en weer zwalken met die acceptgirokosten. Vorige week vonniste de rechtbank Breda dat KPN een consument geen kosten in rekening mocht brengen voor betaling per acceptgiro. Eerder mocht KPN dit juist wél bij een vereniging, terwijl nog weer eerder de Stadsverwarming Purmerend juist weer géén kosten mocht rekenen. In deze zaak… Lees verder