VS neemt sancties tegen cryptobeurs voor faciliteren ransomwaregroepen

| AE 12925 | Regulering | 19 reacties

Sophieja23 / Pixabay

Het Amerikaanse ministerie van Financiën heeft voor het eerst sancties genomen tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen, las ik bij Security.nl. Volgens het ministerie blijkt uit een analyse van de transacties van cryptobeurs Suex dat zeker acht ransomwaregroepen heeft gefaciliteerd en dat meer dan veertig procent van de transacties in verband met criminele partijen wordt gebracht. Het bekende probleem is natuurlijk dat het bedrijf zelf niet in de VS zit, dus hoe doe je ze dan pijn? Nou, zo.

Suex zou meer dan 160 miljoen dollar van ransomwaregroepen en andere cybercriminelen hebben ontvangen. Anders gezegd: 40% van hun transactievolume is van bekende ransomware. Bij zulke getallen snap ik wel dat je als staat daartegen op wil treden. Zeker omdat er weinig andere concrete strategieën zijn om ransomware-bendes te bestrijden.

Cryptobeurzen bestaan natuurlijk overal ter wereld, en naast de legitieme heb je ook de meer schimmige. Zoals dus kennelijk Suex, dat geregistreerd is in Tsjechië, maar zou opereren vanuit Rusland en het Midden-Oosten. Daar direct tegen optreden vanuit de VS is wat lastig.

Dat heeft echter nog nooit Amerikaanse sancties tegengehouden, en ook nu niet. Door de opgelegde sancties mogen Amerikanen namelijk geen zaken meer met Suex doen en zijn alle tegoeden van het bedrijf die onder Amerikaanse jurisdictie vallen bevroren. Want daar kun je wél bij, Amerikaanse burgers (en hun rekeningen) en banken die banden met de VS hebben.

Het haakt in op de recente discussies alhier over jurisdictie en hoe ver je mag gaan als land. Dit lijkt een ‘nette’ oplossing: je hebt last van een buitenlandse partij, dus je verbiedt de eigen burgers daar zaken mee te doen maar je laat die partij zelf met rust want die zit in het buitenland. Alleen, vergis je niet: dit raakt banken wereldwijd, want er zijn maar bar weinig banken die geen enkele band met Amerikaanse jurisdictie hebben. Effectief is dit dus het einde van Suex als legitiem cryptohandelskantoor.

Arnoud

Mag je je salaris in bitcoin ontvangen?

| AE 12896 | Ondernemingsvrijheid | 20 reacties

Een lezer vroeg me:

Ik las dat in El Salvador de bitcoin nu wettig betaalmiddel is. Je kunt daar dus eisen dat je salaris in bitcoin uitbetaald wordt. Nu vroeg ik me af, is het in Nederland ook mogelijk, bijvoorbeeld als vrijwillige afspraak of via een cao?
De voldoening van het in geld vastgestelde loon geschiedt in Nederlands wettig betaalmiddel of door girale betaling, zo staat in het Burgerlijk Wetboek (art. 7:620 BW). Je mag ook salaris in buitenlands geld ontvangen als je dat hebt afgesproken, maar als werknemer kun je altijd weer van die afspraak af.

Loon in natura mag wel, en je zou denk ik prima bitcoin als een natura-betaling kunnen zien omdat het in Nederland geen wettig betaalmiddel of giraal geld is. De wet noemt als mogelijkheden voor loon namelijk (art. 7:617 BW) onder meer:

  • indien die vorm van loon gewoonte is of wenselijk is wegens de aard van de onderneming van de werkgever: zaken, geschikt voor het persoonlijk gebruik van de werknemer en zijn huisgenoten, met uitzondering van alcoholhoudende drank en andere voor de gezondheid schadelijke genotmiddelen;

  • diensten, voorzieningen en werkzaamheden door of voor rekening van de werkgever te verrichten, onderricht, kost en inwoning daaronder begrepen;

Of je nu bitcoins een zaak (een fysiek ding) noemt of een dienst, in beide gevallen zijn ze in principe geschikt om als loon te dienen. Een complicatie is wel dat je de bitcoins dan op hun werkelijke waarde moet waarderen (7:617 lid 2 BW) en die waarde op de loonstrook moet zetten. Dat lijkt me vrij lastig, er is geen officiële koers.

Daar komt bij dat je in ieder geval het stuk loon gelijk aan het minimumloon perse als geld of giraal moet betalen (art. 7a Wet minimumloon en minimumvakantiebijslag). Honderd procent in bitcoin iemand uitbetalen is dus sowieso niet mogelijk.

Ik ben benieuwd of er werknemers in Nederland zijn die zo’n afspraak hebben, het voelt moeilijk voorstelbaar binnen deze regels. Temeer omdat er óók nog in de wet staat dat wie loon uitbetaalt op een manier die binnen de wet niet kan, alsnog het loon gewoon in geld moet uitbetalen zonder dat het eerdere loon terug hoeft (art. 7:621 BW).

Arnoud

Kun je aansprakelijk gesteld worden voor bitcoindiefstal door je kinderen?

| AE 12882 | Security | 9 reacties

Een Amerikaan heeft de dieven van 16 bitcoins (destijds 2 ton in Euro’s) gevonden en klaagt nu hun ouders aan, zo meldde Krebs on Security onlangs. De man stak veel tijd in het opsporen van de bitcoindieven, maar wist met het nodige forensisch onderzoek te achterhalen dat twee Britse -destijds- minderjarigen de cryptomunten naar zich toe hadden weten te krijgen. Omdat de ouders niet reageerden op zijn verzoek tot terugbetaling, gaat hij nu over tot een civiele rechtszaak. Wat de vader van een “crypto hackende” dochter me bezorgd deed vragen: loop ik ook dat risico?

Even voor de duidelijkheid, het gaat hier dus niet om aangifte of strafvervolging tegen minderjarigen. Dat kan (in Nederland vanaf 12 jaar) maar dat zou een beslissing van het OM zijn. Het gaat hier om een civiele of burgerlijke zaak: ik heb schade geleden door uw kind, ik wil graag even afrekenen. En nee, dit is geen verzekeringswerk.

De truc die de twee gebruikt zouden hebben, was een crypto wallet app met een achterdeur: wanneer je een bitcoinadres kopieerde naar het Klembord, werd dit vervangen door een sterk gelijkend adres dat beheerd werd door de dieven. Je plakt dat dan in het walletprogramma en alles lijkt te kloppen, maar je geld ben je dus kwijt. Dit is een van de vele vormen van malware, diefstal en oplichting waar cryptogebruikers mee te maken hebben.

De man gooide er flink wat onderzoekscapaciteit tegenaan maar wist ze te vinden;

[The claimant’s] lawsuit lays out how his investigators traced the stolen funds through cryptocurrency exchanges and on to the two youths in the United Kingdom. In addition, they found one of the defendants — just hours after [his] bitcoin was stolen — had posted a message to GitHub asking for help accessing the private key corresponding to the public key of the bitcoin address used by the clipboard-stealing malware.
De leeftijd van de twee wordt niet gegeven, maar het speelde in 2018 en de twee studeren nu aan de universiteit, dus het zal niet om copypastende tienjarigen zijn gegaan. Dat is van belang, want aansprakelijkheid van ouders voor handelen van kinderen ligt een tikje ingewikkeld.

In Nederland trekken we een grens bij veertien jaar. Als een kind van onder die leeftijd iets onrechtmatigs doet, zijn de ouders daarvoor aansprakelijk. (Met als randvoorwaarde dat de vraag wel eerst is of het kind aansprakelijk zou zijn geweest als het meerderjarig was.) Ik heb geen twijfel dat het verspreiden van bitcoinstelende malware onrechtmatig is, of je dat nou doet “voor de lolz” of omdat je nieuwe fidget spinners wilt komen. Dus als die malwarecopypastende tienjarige inderdaad twee ton aan bitcoins had gestolen, dan zijn de ouders aansprakelijk.

Het andere makkelijke geval is de leeftijd zestien tot achttien, dan is alleen het kind aansprakelijk. Het doet er dan niet toe of het kind geen geld heeft en de ouders miljonair zijn. In theorie zouden de ouders aansprakelijk gehouden kunnen worden als blijkt dat ze hun ouderlijke zorgplicht hebben geschonden, maar dat is niet hetzelfde als “je kind stal mijn bitcoins en woonde bij jou thuis”. Het moet dan op zichzelf onrechtmatig zijn geweest dat de ouders niet ingrepen.

Vanaf achttien jaar is het kind meerderjarig en dus geheel als enige aansprakelijk voor zijn of haar fouten. Ook als het kind nog thuis woont en ook als de ouders alles betalen. Er is natuurlijk een ouderlijke zorgplicht tot 21 jaar, maar die betreft levensonderhoud en zorg en niet onrechtmatig handelen.

Als het kind veertien is (maar nog geen zestien) dan ligt het ingewikkelder, en dat komt met name omdat de wet een draak van een taalconstructie hanteert hiervoor:

Voor schade, aan een derde toegebracht door een fout van een kind dat de leeftijd van veertien jaren al wel maar die van zestien jaren nog niet heeft bereikt, is degene die het ouderlijk gezag of de voogdij over het kind uitoefent, aansprakelijk, tenzij hem niet kan worden verweten dat hij de gedraging van het kind niet heeft belet.
Het gaat hier dus om de vraag of je als ouder had moeten ingrijpen. Als je dat niet deed, en dat kan jou worden verweten (de “kom op nou”-toets) dan ben je dus aansprakelijk voor de fouten van je kind. Natuurlijk wederom met de voorvraag of het überhaupt een fout was, wat je kind deed.

In 2009 blogde ik over de ouders van een vijftienjarige die aansprakelijk werden gehouden voor een auteursrechtclaim: de jongen had een fotootje van Cruijff op zijn website gezet en de ouders moesten daarvoor betalen, aldus de fotograaf.  De rechter zag geen reden om aan te nemen dat de ouders hadden moeten ingrijpen:

Het gaat kennelijk om een handige jongen – zoals zoveel kinderen tegenwoordig zeer handig zijn in het omgaan met internet en alles wat met computers te maken heeft – die op deze wijze zijn liefhebberij mede vorm geeft. Dat is tegenwoordig niets bijzonders. Er zijn veel kinderen van (ongeveer) deze leeftijd die een website hebben. Het onderwerp van de site -voetbal- is onschuldig: volstrekt normaal voor een jongen van 15 jaar.
Een verschil met deze zaak zou dus zijn dat het onderwerp van de online activiteit iets minder onschuldig was. Je zou bij rare dingen van je puber eerder geacht worden een en ander te controleren: wat voor rare apps bouw jij, wat zit jij op dat giethub en hoe kom je aan al dat geld voor je nieuwe sneakers?

Met name het moment dat er bizar veel geld in bezit blijkt, zou voor mij het moment zijn dat je als ouders in moet gaan grijpen. De bestolen man uit het Krebs-artikel hanteert als primair argument dat hij de ouders had geïnformeerd en dat ze daarom aansprakelijk zijn omdat ze niets deden om het ongedaan te maken. Dat is in Nederland geen rechtsgeldig argument – het gaat immers om informeren over een reeds gepleegde onrechtmatige daad.

Een slachtoffer van na die brief zou er wellicht wel wat mee kunnen: je wist dat meneer A bestolen was door je zoon, je deed niets en daarna werd ik óók bestolen, dat kan jou dus worden verweten. Blijf je zitten met het feit dat de kinderen in het Verenigd Koninkrijk zitten en de bestolene in Colorado, USA, maar dat thema hebben we al een paar keer recent gehad op deze blog.

Arnoud

DNB: cryptobeurs Binance biedt illegaal diensten aan in Nederland

| AE 12859 | Regulering | 20 reacties

Binance, de grootste cryptobeurs ter wereld, is illegaal in Nederland actief, zo waarschuwt De Nederlandsche Bank (DNB) volgens Security.nl. Volgens de toezichthouder biedt de cryptobeurs zonder wettelijk verplichte registratie cryptodiensten in Nederland aan. Het gaat om de diensten voor wisselen tussen virtuele valuta en fiduciaire valuta en het aanbieden van wallets voor het bewaren van cryptovaluta. Binance… Lees verder

Hoe kan meneer Wright nu het auteursrecht op het Bitcoin white paper hebben zonder Satoshi te zijn?

| AE 12775 | Informatiemaatschappij | 8 reacties

De Australiër Craig Wright, die zonder enig bewijs al tijden claimt de uitvinder van Bitcoin te zijn, heeft in Engeland de rechtbank hem het auteursrecht op de originele Bitcoin white paper laten geven. Dat las ik bij Boing Boing, en dat roept natuurlijk vele vragen op. Dat paper is in 2008 gepubliceerd onder het pseudoniem… Lees verder

Politie arresteert man op verdenking ‘pump en dump’ met zelfgemaakte cryptocoins

| AE 12717 | Innovatie, Regulering | 17 reacties

De Nederlandse politie heeft een man van 39 uit Deventer aangehouden op verdenking van grootschalige oplichting met zelfgemaakte cryptovaluta. Dat las ik bij Tweakers. In het jargon heet dit een “pump and dump scheme”: je praat de koers omhoog en daarna verkoop je snel je eigen voorraad, waarna je er met het geld vandoor gaat… Lees verder

Bitcoin Meester hoeft wegens bug teruggedraaide transacties niet te vergoeden

| AE 12643 | Ondernemingsvrijheid | 4 reacties

Cryptoplatform Bitcoin Meester hoeft veertien transacties van een klant die daarmee vierduizend procent winst maakte maar wegens een systeemfout werden teruggedraaid niet te vergoeden, las ik bij Security.nl. Ook hoeft men geen ruim 42.000 euro schadevergoeding te betalen vanwege misgelopen winst. Dit alles op gezag van de rechtbank Amsterdam die aldus vonniste nadat de klant… Lees verder

Niet bij je Bitcoins kunnen omdat de politie je telefoon heeft

| AE 12458 | Regulering | 8 reacties

Iets waar niet iedere Bitcoin bezitter rekening mee houdt, wat te doen als de politie je telefoon heeft? Dat las ik bij het onvolprezen Betablog. Hij wees op een recent strafvonnis waarbij de verdachte tegen precies dit probleem aanliep: “zegt de veroordeelde tegen zijn moeder dat hij over geld in Bitcoins beschikt, maar dat hij daar… Lees verder

Facebook doet dus al genoeg tegen nepbitcoinadvertenties, tuurlijk

| AE 11961 | Ondernemingsvrijheid | 18 reacties

Internetplatform Facebook treft vooralsnog voldoende maatregelen om nep-bitcoin advertenties met bekende Nederlanders te weren. Dat las ik in een recent vonnis. De presentator van EenVandaag was samen met zijn werkgever had Facebook aangeklaagd omdat ook hij als gezicht werd misbruikt in die Bitcoinfraudeadvertenties (“Bankiers zijn bang voor deze vondst”). Inderdaad net als John de Mol,… Lees verder

John de Mol start rechtszaak tegen Facebook om nepadvertenties

| AE 11312 | Ondernemingsvrijheid, Uitingsvrijheid | 28 reacties

Talpa-oprichter John de Mol spant een kort geding aan tegen Facebook. Hij eist dat het sociale netwerk stopt met het tonen van nepadvertenties voor bitcoinproducten waarin zijn naam en foto worden gebruikt. Dat meldde het FD onlangs. De ondernemer is niet de enige: ook foto’s van zanger Waylon, presentator Matthijs van Nieuwkerk en techondernemer Alexander… Lees verder