Internetrecht door Arnoud Engelfriet

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via internet afgenomen op zijn naam, en ook was er een betalingspatroon dat consistent leek met het gedrag van de man. AmEx vond dat het daarom duidelijk was dat hij die kaart had afgenomen. De rechter kijkt er nog eens kritisch naar en komt tot een andere conclusie.

Het eerste bewijsmiddel van American Express was de online aanvraag, waarbij immers de gegevens van de man zijn ingevoerd. Niet alleen maar wat in het telefoonboek staat, ook identiteitsnummer en de meisjesnaam van zijn moeder. Maar die gegevens waren ook bij anderen bekend, met name bij ene [naam] die verderop in het verhaal nog even terug gaat komen. De rechtbank vindt dat niet overtuigend, ook niet als blijkt dat er daarna op het opgegeven nummer is gebeld met iemand die zei dat hij de gedaagde man was.

Vervolgens werd natuurlijk de kaart toegestuurd naar het opgegeven adres, dat aan de gedaagde toebehoorde. Alleen: hij woonde daar al een tijd niet meer, en die [naam] had toegang omdat die hielp was met de verkoop ervan. Dus ook dat bewijst weinig.

Het betalingspatroon levert een interessant stukje bewijs op. Er zijn tickets naar Italië gekocht, een villa in Italië gehuurd en de nodige extra transacties daar verricht. En dat in combinatie met de Facebook-informatie van de gedaagde dat hij “ff paar dagen chillen” was (ik vind dat niet passen bij de eigenaar van een woonboerderij, maar goed) in precies dezelfde plaats en in zo’n villa, zou dan toch wel overtuigend moeten zijn? Niet helemaal: er stonden ook van vóór de vliegreis daterende transacties in Italië op die kaart.

Uiteindelijk komen we bij de kern van het verhaal: die [naam] blijkt een handige (inmiddels ex-)schoonzoon van de man te zijn, die hem aan het lijntje zou hebben gehouden over verkoop van de woonboerderij en een mooi feestje ging bouwen met schoonvader, waarbij de kosten zouden worden gedeeld. Zo’n oplichterstruc zie je vaker, en het is volgens de rechter niet meteen ongeloofwaardig dat iemand daar in zou trappen.

Als laatste bleek dan nog dat de incasso’s op schoonvader’s rekening waren mislukt, maar ook dat was iets waar hij geen rekening mee hoefde te houden. En waaruit al helemaal geen aanvaarding van de kaart uit volgt, of zelfs maar wetenschap dat er een kaart is waar je dan wat mee moet. Met name omdat de ING bank niet meldt dat zo’n incasso is mislukt, zodat je er moeilijk actie op kunt ondernemen.

Een erg feitenspecifieke zaak maar wel een mooi voorbeeld van hoe rechters kijken. Maar ik zie het zomaar gebeuren dat andere mensen zich laten overtuigen door het juridisch geweld dat je bij zo’n incasso over je heen krijgt.

Arnoud

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Vanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Een Russische rechter heeft een man in het gelijk gesteld die eigenhandig de kleine lettertjes in zijn creditcardcontract had gewijzigd, meldde onder meer het AD. In 2008 kreeg de man een aanbod voor een creditcard van de Russische bank Tinkoff Credit Systems (TCS). Hij scande de tekst in, paste deze aan met onder meer nul… Lees verder

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien-… Lees verder

Een lezer vroeg me: Mijn kinderen spelen op Facebook allerlei spelletjes, en gebruiken daarbij het account van mij of van mijn vrouw. Bij sommige spellen kun je via extra credits hogerop komen, maar die moet je dan kopen. Onze dochter van 9 ontdekte echter dat onze creditcardgegevens werden onthouden door Facebook, zodat ze snel voor… Lees verder

Sony stelt zichzelf niet aansprakelijk in het geval een onbevoegde buitenstaander zichzelf toegang verschaft tot persoonlijke gegevens, las ik bij Nu.nl. Dat zou blijken uit de TOS van de dienst. Bij een inbraak werden persoonsgegevens en creditcardinformatie gestolen uit de databases van het Playstation Network van Sony. Hoewel het CVV-getal niet is gestolen, kan er… Lees verder

Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank… Lees verder

Als u een creditcard heeft, dan moet u namelijk elke dag even controleren hoe het daarmee staat: 4.2 De Card-houder dient minimaal één keer per dag te controleren of de Card nog in zijn of haar bezit is en dient tevens de informatie van [de maatschappij] – waaronder ook het rekeningoverzicht – terstond te controleren…. Lees verder

Creditcardbetalingsbedrijf PaySquare is niet verplicht haar diensten aan pornobedrijf Cybermedia te leveren. Dat blijkt uit een vonnis van de rechtbank Utrecht van afgelopen week. PaySquare was erachter gekomen dat Cybermedia onder andere dierenporno verspreidde (hoewel daar niet voor betaald hoefde te worden), en voerde toen eenzijdig een contractswijziging door dat “goederen/diensten aanbieden die de goede… Lees verder