Creditcard Archives - Ius Mentis

Hoe bewijs je of een creditcard echt of vals gebruikt wordt?

Geplaatst op 11 september 20199 september 2019 in Informatiemaatschappij, 8 reacties

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via internet afgenomen op zijn naam, en ook was er een betalingspatroon dat consistent leek met het gedrag van de man. AmEx vond dat het daarom duidelijk was dat hij die kaart had afgenomen. De rechter kijkt er nog eens kritisch naar en komt tot een andere conclusie.

Het eerste bewijsmiddel van American Express was de online aanvraag, waarbij immers de gegevens van de man zijn ingevoerd. Niet alleen maar wat in het telefoonboek staat, ook identiteitsnummer en de meisjesnaam van zijn moeder. Maar die gegevens waren ook bij anderen bekend, met name bij ene [naam] die verderop in het verhaal nog even terug gaat komen. De rechtbank vindt dat niet overtuigend, ook niet als blijkt dat er daarna op het opgegeven nummer is gebeld met iemand die zei dat hij de gedaagde man was.

Vervolgens werd natuurlijk de kaart toegestuurd naar het opgegeven adres, dat aan de gedaagde toebehoorde. Alleen: hij woonde daar al een tijd niet meer, en die [naam] had toegang omdat die hielp was met de verkoop ervan. Dus ook dat bewijst weinig.

Het betalingspatroon levert een interessant stukje bewijs op. Er zijn tickets naar Italië gekocht, een villa in Italië gehuurd en de nodige extra transacties daar verricht. En dat in combinatie met de Facebook-informatie van de gedaagde dat hij “ff paar dagen chillen” was (ik vind dat niet passen bij de eigenaar van een woonboerderij, maar goed) in precies dezelfde plaats en in zo’n villa, zou dan toch wel overtuigend moeten zijn? Niet helemaal: er stonden ook van vóór de vliegreis daterende transacties in Italië op die kaart.

Uiteindelijk komen we bij de kern van het verhaal: die [naam] blijkt een handige (inmiddels ex-)schoonzoon van de man te zijn, die hem aan het lijntje zou hebben gehouden over verkoop van de woonboerderij en een mooi feestje ging bouwen met schoonvader, waarbij de kosten zouden worden gedeeld. Zo’n oplichterstruc zie je vaker, en het is volgens de rechter niet meteen ongeloofwaardig dat iemand daar in zou trappen.

Als laatste bleek dan nog dat de incasso’s op schoonvader’s rekening waren mislukt, maar ook dat was iets waar hij geen rekening mee hoefde te houden. En waaruit al helemaal geen aanvaarding van de kaart uit volgt, of zelfs maar wetenschap dat er een kaart is waar je dan wat mee moet. Met name omdat de ING bank niet meldt dat zo’n incasso is mislukt, zodat je er moeilijk actie op kunt ondernemen.

Een erg feitenspecifieke zaak maar wel een mooi voorbeeld van hoe rechters kijken. Maar ik zie het zomaar gebeuren dat andere mensen zich laten overtuigen door het juridisch geweld dat je bij zo’n incasso over je heen krijgt.

Arnoud

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

Geplaatst op 6 januari 201730 december 2016 in Regulering, 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

Geplaatst op 31 oktober 201631 oktober 2016 in Ondernemingsvrijheid, 26 reacties

Vanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Rus mag van rechter kleine lettertjes creditcardcontract wijzigen

Geplaatst op 13 augustus 201312 augustus 2013 in Informatiemaatschappij, 22 reacties

Een Russische rechter heeft een man in het gelijk gesteld die eigenhandig de kleine lettertjes in zijn creditcardcontract had gewijzigd, meldde onder meer het AD. In 2008 kreeg de man een aanbod voor een creditcard van de Russische bank Tinkoff Credit Systems (TCS). Hij scande de tekst in, paste deze aan met onder meer nul procent rente en een boetebeding op contractswijziging en stuurde dit ondertekend terug. De bank gaf hem vervolgens de kaart maar rekende wel rente, en stuurde ook nog eens nieuwe voorwaarden toe. Bij de incassoprocedure voor de rente bepaalde de rechter dat de voorwaarden van de Rus bindend waren en niet die van de bank.

Kan dat zomaar? Nou ja, op zich wel. Als iemand met een contract aankomt, staat het de wederpartij vrij om in dat contract wijzigingen voor te stellen. Ook als het kleine lettertjes zijn, ze in een PDF zitten en er “Algemene voorwaarden” bij staat of er “Onze voorwaarden zijn niet onderhandelbaar” bij staat. Alles is onderhandelbaar, de vraag is alleen hoe je de wederpartij ervan overtuigt akkoord te gaan met je onderhandelvoorstel.

Hier was het echter geen uitonderhandeld maatwerkcontract waar men beiden aan vast zat. De bank dacht dat haar eigen standaardvoorwaarden waren geaccepteerd, en de creditcardhouder meende dat juist zíjn getypte voorwaarden bindend waren. Als ik dit bericht goed begrijp, dan heeft de bank zijn ingestuurde document ondertekend en geretourneerd. Dat maakt de bewijslast makkelijk: de bank is dan akkoord gegaan met zijn voorwaarden. Bij mijn creditcards heb ik nog nooit iets met handtekening teruggehad – dat hóeft ook niet in Nederland, het feit dat je creditcard werkt bewijst dat je mag kredietkaarten, maar met handtekening bewijst het wel makkelijker wáár men akkoord mee gegaan is.

Het verweer van de bank dat ze de ingestuurde voorwaarden niet heeft gelezen, doet niet heel sterk aan. Dat doen wij ook niet als de bank ons algemene voorwaarden in de brievenbus dumpt, en de wet vermeldt bij ons zelfs expliciet (art. 6:232 BW) dat dat geen argument is. Maar de voorwaarden van deze Rus zijn moeilijk ‘algemeen’ te noemen, omdat hij ze maar één keer gebruikt.

Bovendien, en dit is waar het dubieus wordt, hij heeft moeite gedaan om de voorwaarden eruit te laten zien als de originele voorwaarden van de bank. Dat riekt naar misleiding: als ik zeg “dit is jouw tekst, ik ben akkoord dus laten we tekenen” en het ís niet jouw originele tekst dan is dat contract niet rechtsgeldig gesloten. De vraag is dus, hoe duidelijk was het voor de bank dat meneer geen contract van de bank accordeerde maar een eigen contractsvoorstel instuurde?

De advocaat van de man wijst erop dat de bank wel degelijk gewerkt heeft met zijn voorwaarden: de door hem ingevulde onbeperkte kredietlimiet was daadwerkelijk ingevoerd, hij had onbeperkt krediet en geen limiet. En die situatie kan alleen maar ontstaan als bij de bank iemand die tekst las en dacht, goed dat gaan we even in orde maken. En dán is het moeilijk verdedigbaar dat je misleid bent.

De bank heeft ondertussen gemeld aangifte van fraude (oplichting) te hebben gedaan. Ik denk dat dat in Nederland ook zo zou gebeuren. Plus, ik twijfel of er überhaupt gekeken zou worden naar de ingezonden voorwaarden.

Arnoud

Mogen kinderen betalen in sociale games?

Geplaatst op 23 september 201118 september 2012 in Informatiemaatschappij, 44 reacties

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien- geen enkel artikel dat ziet over in-game purchases.

Zou zo’n artikel er moeten komen? Ik denk het wel, hoewel ik niet verder kom dan “dit moet gewoon niet mogen” en dat zal op iets te veel weerstand stuiten bij de gemiddelde socialemediaspelletjesaanbieder.

De huidige juridische grens biedt niet echt soelaas. In mei blogde ik over ongewenst gekochte Facebookcredits door het kind en of de ouders deze aankoop ongedaan kunnen maken.

Minderjarigen mogen dingen kopen die “gebruikelijk” zijn voor hun leeftijd. Een snoepje bij de Jamin is voor een negenjarige gebruikelijk, een nieuwe fiets niet. Voor een 15-jarige is een fiets of dure broek denk ik weer wel gebruikelijk, er zijn er genoeg die dat doen immers. Als de aankoop niet gebruikelijk is, dan kunnen de ouders deze terugdraaien en de winkel moet dat accepteren.

Bij microtransacties zoals veevoer in Farmville ligt het juridisch lastig: je kunt namelijk goed stellen dat elke transactie een aparte aankoop is en dus juridisch een apart contract. En dan kun je het niet terugdraaien: een kind van negen mag best 10 cent uitgeven aan een spelletje. Dat hij dat dan duizend keer doet, tsja dát valt buiten het bereik van dit wetsartikel.

Je kunt natuurlijk verdedigen dat het kind in feite een aankoop van duizend keer 10 cent oftewel 100 euro doet en dát is niet gebruikelijk voor een kind van negen. Maar dan moet je een constructie opvoeren waaruit blijkt dat er één overeenkomst is waarbij die 100 euro in fragmenten van 10 cent wordt besteed. En volgens mij is die er niet. Wel natuurlijk als je een berg credits vooraf koopt, dan is de aanschaf van die credits 100 euro in één keer.

De vervolgvraag is dan of het ‘gebruikelijk’ is dat een kind van negen 100 euro besteedt aan zulke credits. De hoogte van het bedrag is niet doorslaggevend. Als blijkt dat ‘iedereen’ van die leeftijd dit doet, dan is dat al genoeg om het gebruikelijk te noemen. En ik weet niet hoe veel kinderen er op Farmville zitten en credits kopen, maar dat zullen er toch al aardig wat zijn.

Arnoud

Mijn kind heeft credits gekocht op Facebook, wat nu?

Geplaatst op 16 mei 20118 september 2012 in Security, 62 reacties

Een lezer vroeg me:

Mijn kinderen spelen op Facebook allerlei spelletjes, en gebruiken daarbij het account van mij of van mijn vrouw. Bij sommige spellen kun je via extra credits hogerop komen, maar die moet je dan kopen. Onze dochter van 9 ontdekte echter dat onze creditcardgegevens werden onthouden door Facebook, zodat ze snel voor 55 euro wat credits aanschafte. Hoger kon niet, want daarvoor hadden ze de pincode nodig. Kan ik deze ongewenste betaling ongedaan maken?

De wet (art. 1:234 BW) bepaalt dat minderjarigen niet zelfstandig overeenkomsten kunnen sluiten. Daarvoor is toestemming nodig van de ouders. Het is alleen niet handig als een kind voor elke reep chocola een briefje van zijn ouders nodig zou hebben. Daarom staat in de wet staat dat die toestemming wordt verondersteld te zijn gegeven als het een rechtshandeling is “waarvan in het maatschappelijk verkeer gebruikelijk is dat minderjarigen van zijn leeftijd deze zelfstandig verrichten.”

De vraag is dan, is het voor minderjarigen van 9 jaar gebruikelijk dat ze credits voor Facebookspelletjes kopen. Ik heb eerlijk gezegd geen flauw idee. Wie onderzoek heeft naar dit onderwerp, ik hoor het graag.

Een bijkomstig punt is hier wel dat het niet het kind is dat de aanschaf deed, maar de vader. Althans, zo zag het eruit voor Facebook. Er werd immers gewerkt vanaf diens account, en niet vanaf een account dat gekoppeld was aan de negenjarige dochter. Ik denk dan ook dat het in die situatie niet mogelijk is de aankoop te annuleren op grond van artikel 1:234 BW. Het zou wel érg makkelijk zijn voor volwassen om dan dingen te kopen en achteraf te zeggen dat het hun minderjarige kind was.

Een juridisch argument om dat te onderbouwen is dat wanneer je je kind jouw account laat gebruiken, je hem of haar in feite als jouw vertegenwoordiger aanstelt. Het kind koopt dan niets, maar jíj koopt die zaken en het kind handelt daarbij als uitvoerder in jouw naam. In die situatie is het onmogelijk om je op artikel 1:234 BW te beroepen want jij als ouder bent meerderjarig.

Het lijkt me dus handiger je kinderen een eigen account te geven, dat stevig af te sluiten tegen ongewenst gebruik en ze zelf te laten sparen voor eventuele credits.

Arnoud

Is Sony aansprakelijk voor gestolen Playstation-gegevens?

Geplaatst op 2 mei 201118 september 2012 in Security, 26 reacties

Sony stelt zichzelf niet aansprakelijk in het geval een onbevoegde buitenstaander zichzelf toegang verschaft tot persoonlijke gegevens, las ik bij Nu.nl. Dat zou blijken uit de TOS van de dienst. Bij een inbraak werden persoonsgegevens en creditcardinformatie gestolen uit de databases van het Playstation Network van Sony. Hoewel het CVV-getal niet is gestolen, kan er toch misbruik worden gemaakt van de informatie omdat lang niet elke creditcard-acceptant deze code vraagt. Sony

Het is me onduidelijk of Sony dit nu daadwerkelijk heeft gezegd of dat Nu.nl (en Gamer.nl) het klakkeloos overnemen van Edge, dat de pechgehadclausule in de terms of service ontdekte:

We exclude all liability for loss of data or unauthorised access to your data, Sony Online Network account or Sony Online Network wallet and for damage caused to your software or hardware as a result of using or accessing Sony Online Network.

Kan dat zomaar? Natuurlijk niet. Een bedrijf kan haar aansprakelijkheid proberen te beperken, maar de wet (zowel in Nederland als in de Verenigde Staten) stelt daar grenzen aan. Eén van die grenzen is “opzet en grove nalatigheid”: daarvoor ben je te allen tijde aansprakelijk, ongeacht je voorwaarden.

Voor specifieke soorten datadiefstal zijn er strengere regels. Zo kent de Wet bescherming persoonsgegevens de plicht om data “adequaat” te beschermen tegen diefstal en ongeautoriseerd gebruik. Die plicht is niet in de voorwaarden weg te tekenen, en aansprakelijkheid bij schending van die plicht is niet uit te sluiten. Een probleem is wel om aan te tonen wélke schade je hebt geleden door deze schending. Ik blijf het een goed idee vinden om gewoon een vast bedrag, zeg 300 euro, in de wet te zetten als schadebedrag als er geen hogere schade is geleden. Als Sony een risico van 70 miljoen maal 300 euro loopt, vinden ze een investering in een beveiligingsbedrijf misschien wel een goed idee.

En specifiek voor creditcardgegevens is er nog artikel 7:529 BW. (Voor de mensen met e-commerce achtergrond: artikel 7:46g BW bestaat niet meer.). Dit bepaalt dat de kaarthouder slechts aansprakelijk is tot een bedrag van ten hoogste ” 150 voor niet-toegestane betalingstransacties met een verloren of gestolen betaalinstrument. Uitzondering is als de kaarthouder “frauduleus of opzettelijk of met grove nalatigheid heeft gehandeld”. Het lijkt me niet dat het geven van je creditcardgegevens aan Sony telt als grove nalatigheid, dus het risico voor de Playstation-Netwerkgebruikers is beperkt.

Het blijft een goed idee om je creditcardstatements te controleren en meteen de bank te bellen als er een ongeautoriseerde transactie verschijnt. (Dit níet doen zou kunnen worden gezien als grove nalatigheid.) En misschien kun je maar beter sowieso een nieuwe creditcard aanvragen om elk risico uit te sluiten.

Arnoud

Skimmen toch strafbaar!

Geplaatst op 8 april 20108 september 2012 in Security, 9 reacties

skimmen-diefstal-fraude-oplichting-foto-paul-wiegmans.jpg Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Update (7 december 2011) in een andere zaak wordt voor onder meer skimmen én het ook echt namaken van de passen, alsmede oplichting, een straf van negenendertig maanden cel opgelegd.

Arnoud<br/> Foto: Paul Wiegmans.

Zit uw creditcard nog in uw portemonnee?

Geplaatst op 2 april 20108 september 2012 in Informatiemaatschappij, 8 reacties

Als u een creditcard heeft, dan moet u namelijk elke dag even controleren hoe het daarmee staat:

4.2 De Card-houder dient minimaal één keer per dag te controleren of de Card nog in zijn of haar bezit is en dient tevens de informatie van [de maatschappij] – waaronder ook het rekeningoverzicht – terstond te controleren.

Dat blijkt uit de algemene voorwaarden (overigens in Ieniemienieletters) die voor VISA, Mastercard en enkele andere bedrijven gelden.

Op zich is het natuurlijk een goed idee om regelmatig te controleren of er geen misbruik van je kaart wordt gemaakt, maar om dat nu als contractsvoorwaarde op te nemen gaat misschien een beetje ver. Zeker nu in de voorwaarden rond misbruik en diefstal staat:

6.1 Als de Card-houder een redelijk vermoeden van misbruik van de Card, de pincode en/of overige gepersonaliseerde veiligheidskenmerken heeft, bijvoorbeeld uit het rekeningoverzicht, dient de Card-houder dit zo spoedig mogelijk telefonisch aan ICS te melden.

en iets daaronder

Uitsluitend indien de Card-houder frauduleus heeft gehandeld of sprake is van opzet of grove nalatigheid aan de zijde van de Card-houder, draagt de Card-houder alle verliezen als gevolg van verlies, diefstal of misbruik … Van grove nalatigheid is in ieder geval sprake indien de Card-houder één of meer verplichtingen uit hoofde van de artikelen 4, 5.1 en 6.1 niet is nagekomen.

En ja, dat leest u goed: u bent aansprakelijk voor alle onterechte afboekingen die u had kunnen voorkomen als u elke dag uw creditcard-statement zou hebben gecontroleerd.

Nu valt er misschien nog wel een mouw aan te passen omdat je onterechte afboekingen kunt laten storneren (deze voorwaarden hebben het zelfs over “13 maanden na de valutadatum” terwijl ik dacht dat het één maand was). Maar toch denk ik dat het in het algemeen wat te kort door de bocht is om te zeggen “als u niet elke dag uw afboekingen controleert, verliest u elk recht van claimen”.

Arnoud

Creditcardmaatschappij mag dierenporno weigeren af te rekenen

Geplaatst op 26 maart 20108 september 2012 in Informatiemaatschappij, 7 reacties

Creditcardbetalingsbedrijf PaySquare is niet verplicht haar diensten aan pornobedrijf Cybermedia te leveren. Dat blijkt uit een vonnis van de rechtbank Utrecht van afgelopen week. PaySquare was erachter gekomen dat Cybermedia onder andere dierenporno verspreidde (hoewel daar niet voor betaald hoefde te worden), en voerde toen eenzijdig een contractswijziging door dat “goederen/diensten aanbieden die de goede naam en faam van PaySquare dan wel de Card Schemes kan schaden” verboden is en tot contractsopzegging kan leiden.

Cybermedia vocht deze wijziging aan maar krijgt nul op het rekest van de rechter. In de originele overeenkomst stond duidelijk dat PaySquare deze eenzijdig mocht wijzigen, en daar zit je dan als bedrijf gewoon aan vast. De rechter oordeelt dat Cybermedia niet kan zeggen dat ze gedwongen was (art. 3:44 BW) om met de wijziging in te stemmen, al was het maar omdat niet vaststaat dat PaySquare wist dat ze hiermee Cybermedia onevenredig zou treffen.

Ook het verweer dat zo’n verbod op “diensten die de goede naam kunnen schaden” tegen de redelijkheid en billijkheid is, gaat niet op:

De creditcardmaatschappijen mogen hun beleid wijzigen en het staat hen in beginsel ook vrij om te besluiten hundiensten niet (langer) te verlenen voor specifieke transacties. Daarvoor is op zich niet vereist dat zij schade lijden of anderszins benadeeld worden door die specifieke transacties. PaySquare mag vervolgens gelet op haar rol als tussenschakel in het betalingsverkeer met creditcards en haar contractuele verplichtingen ten opzichte van zowel Cybermedia als de creditcardmaatschappijen zulke beleidswijzigingen ook in haar overeenkomsten met merchants verwerken, ook als dat ingrijpende gevolgen voor de merchant heeft

Op zich snap ik dat PaySquare zo’n wijziging door mag voeren, zij zijn immers niet meer dan een tussenschakel. Maar ik had dan wel wat meer woorden verwacht over de vraag of een creditcardmaatschappij zomaar hun beleid mag wijzigen. Die bedrijven hebben immers een aanzienlijke machtspositie als het gaat om betalingen op internet.

Wat hier wel meewoog is dat het beleid over een periode van ruim drie jaar herhaaldelijk is aangepast. Cybermedia had daar rekening mee kunnen houden, aldus de rechter, en op zoek kunnen gaan naar alternatieven. Nu ze dat nagelaten heeft, is het jammer maar helaas dat ze nu geen creditcardbetalingen meer kan krijgen.

In 2004 kwam de rechtbank Utrecht in een andere zaak tot een vergelijkbaar oordeel, en in 2007 mocht Visa ook weigeren creditcarddiensten te leveren aan Cybermedia (wie het vonnis heeft: graag).

Update (31 januari 2011): de Hoge Raad verwerpt alle cassatieklachten van Cybermedia omdat ze onvoldoende onderbouwd zouden zijn. Jammer!

Arnoud