Is achterafbetalen een wettelijk beveiligingsgat?

| AE 10739 | Ondernemingsvrijheid | 53 reacties

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder het doorheeft, ben jij allang weg met het pakket. Volgens de politie zijn er jaarlijks ‘honderden slachtoffers’ van deze vorm van fraude. Wat in de comments de vraag opriep: waarom bieden winkels dan nog achterafbetalen aan?

Nou ja, omdat dat moet van de wet natuurlijk. Artikel 7:26 lid 2 BW bepaalt dat een consumentkoper tot hooguit 50% vooruitbetaling kan worden gedwongen, en internetaankopen tellen nu eenmaal als vooruitbetaling omdat de levering altijd later gebeurt. Je kunt mensen niet zomaar afstand laten doen van dit recht, in ieder geval niet in je algemene voorwaarden of iets dergelijks generieks.

Het probleem is natuurlijk dat deze wijze van afrekenen specifiek in de internetcontext fraudegevoelig is. Stuur het pakket naar adres A, en de factuur later naar B. Tegen de tijd dat B aangesproken wordt op wanbetaling, is het pakket al lang weg bij A. En die heeft dan weer geen idee wie het heeft opgehaald.

Natuurlijk kun je als winkel je hiertegen proberen te wapenen, bijvoorbeeld door geen bestelling van nieuwe klanten te accepteren op achterafbetaling als er een ander afleveradres wordt opgegeven. Maar daarom zijn zulke accounts waardevol: die hebben een koopgeschiedenis en zijn daardoor vertrouwd, dus als daar een keer een ander adres komt, dan is dat prima. En dan gaat het dus mis.

Achteraf betalen is dus een wettelijk recht, maar specifiek bij accounts is er denk ik wel een truc: laat mensen in hun accountinstellingen bepalen dat zij afstand doen van deze optie. Dat mag van de wet (art. 7:6 BW, dit is geen algemene voorwaarde), en zo voorkom je dat je account wordt misbruikt met deze manier. Natuurlijk kan de dief de optie weer aanzetten, maar als je het combineert met “eerst een bestelling naar je huidige adres” dan is de impact te overzien.

Wie weet een betere?

Arnoud

Telt inroepen van PayPal aankoopbescherming als annulering?

| AE 9478 | Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me:

Bij een webwinkel had ik wat besteld, en betaald met Paypal. Het object kreeg ik echter maar niet, dus ik heb via PayPal de Aankoopbescherming ingeroepen. De verkoper reageerde echter niet, waardoor ik mijn geld terugkreeg van Paypal. Maar nu eist de verkoper via een incassobureau betaling, en zeggen ze dat ik alleen maar een stornering heb gedaan maar dat de overeenkomst nog steeds staat! Hoe zit dat nu?

De Aankoopbescherming van Paypal is een dienst van het betaalbedrijf waarbij je een geschil wegens geen of afwijkende levering kunt aankaarten. Je hebt 180 dagen vanaf de betaaldatum om dat te doen, en Paypal laat de verkoper dan reageren. Komen partijen er zo niet uit, dan kan het geschil omgezet worden naar een claim, wat inhoudelijk vooral betekent dat PayPal zich er dan inhoudelijk mee gaat bemoeien.

Dat bemoeien betekent in feite dat ze dan inhoudelijk beslissen en wel bindend:

Wanneer een geschil in een claim is omgezet, zal PayPal een uiteindelijke beslissing nemen in het voordeel van de koper of van de verkoper. … PayPal behoudt zich het recht voor naar eigen inzicht een beslissing te nemen in het voordeel van koper of verkoper, op basis van criteria die PayPal passend voorkomen. Wanneer PayPal een eindbeslissing neemt in het voordeel van koper of verkoper, dienen beide partijen zich naar deze beslissing te schikken.

Die laatste zin met name lees ik als een bindend besluit, zeg maar net zoals de Rijdende Rechter adviezen geeft waar je je bij neer te leggen hebt. De winkel kan dan dus niet meer alsnog betaling vorderen. Het is dus wezenlijk anders dan enkel je betaling ongedaan maken, zoals bij veel creditcards mogelijk is. Enkel storneren is nog geen annuleren (ontbinden).

Juridisch is het mogelijk om af te spreken dat een derde een geschil gaat oplossen en dat je hangt aan zijn of haar beslissing. Art. 7:900 BW en verder werken deze zogeheten vaststellingsovereenkomst uit. Het is dus toegestaan om dit in algemene voorwaarden af te spreken. Als consument kun je daar onderuit – zo’n algemene voorwaarde staat op de zwarte lijst, tenzij de consument de mogelijkheid krijgt om alsnog naar de gewone rechter te stappen. Maar als bedrijf hang je als dat in de voorwaarden staat.

Het verbaast me wel dat een winkel niet zou merken dat PayPal een geschil had voorgelegd. Heeft iemand als winkelier daar ervaring mee? Krijg j dat te horen of moet je zelf kijken of er nieuwe geschillen zijn?

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Niet kunnen betalen wegens iDeal-storing is het probleem van de winkelier

| AE 7993 | Ondernemingsvrijheid | 13 reacties

Stel je koopt online een ticket voor een festival dat morgen begint, en iDeal heeft een storing. Wat moet je dan als consument? Nou, niet naar de andere kant van Nederland reizen om contant te betalen. Dat maak ik op uit een recent vonnis van de rechtbank Utrecht. En de ticketverkoper kan ook niet eisen… Lees verder

Hoe bewijs ik dat mijn grootouders niet online gokken?

| AE 6731 | Security | 85 reacties

Een lezer vroeg me: Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu… Lees verder

Rechtbank: Bitcoin is geen geld maar slechts ruilmiddel

| AE 6647 | Innovatie | 58 reacties

Bitcoins zijn in Nederland geen geld. En als je bitcoins koopt maar niet geleverd krijgt, kun je de wisselkoerswaarde niet als schade claimen. Dat bepaalde de rechtbank Overijssel vorige week in bij mijn weten de eerste rechtszaak ooit over de cryptovaluta. Uit het vonnis blijkt dat de partijen op 8 augustus 2012 hadden afgesproken dat… Lees verder

Mogen kinderen betalen in sociale games?

| AE 2708 | Informatiemaatschappij | 44 reacties

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien-… Lees verder

Nee, als webwinkel mag je géén vooruitbetaling eisen

| AE 2696 | Ondernemingsvrijheid | 61 reacties

Bij consumentenzaken is het zoeken naar jurisprudentie, want wie gaat er nou procederen over een relatief laag bedrag? Maar dankzij een zekere online fietsenwinkel die het wel vaker op procedures aan laat komen, hebben we er weer eentje bij: een winkel mag niet eisen dat de consument 100% vooruitbetaalt wanneer deze iets wil laten bezorgen…. Lees verder

Acceptgirokosten nu weer wél onredelijk bezwarend

| AE 2571 | Ondernemingsvrijheid | 19 reacties

Het blijft maar heen en weer zwalken met die acceptgirokosten. Vorige week vonniste de rechtbank Breda dat KPN een consument geen kosten in rekening mocht brengen voor betaling per acceptgiro. Eerder mocht KPN dit juist wél bij een vereniging, terwijl nog weer eerder de Stadsverwarming Purmerend juist weer géén kosten mocht rekenen. In deze zaak… Lees verder

Camera besteld, niet op voorraad, prijs wordt ineens verhoogd

| AE 2561 | Ondernemingsvrijheid | 37 reacties

Een lezer wees me op een Fok!-draadje: Ik heb laatst online een camera besteld bij Foto de Vakman. Deze kostte me 1850 euro. Hij was er niet op voorraad vanwege de de slechte leverbaarheid. De Nikon fabriek in Japan waar die vandaan moet komen was getroffen door de aardbeving van een tijdje terug. Daardoor duurt… Lees verder