Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Regulering | 15 reacties

account-suspended.pngWeer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen?

De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar het vervalsen, manipuleren of namaken van een betaalkaart om daar voordeel uit te trekken. Het namaken van een boekenbon valt hieronder, net als het manipuleren van het saldo op een prepaidkaart.

Hier gaat dat niet op: de inloggende jongen heeft niets gedaan met de creditcard als zodanig. Hij heeft ingelogd op het account van een ander. Daarvoor is primair de computervredebreuk (art. 138ab Strafrecht bedacht: wederrechtelijk binnendringen in een geautomatiseerd werk, zoals een server van Spotify. Daarbij maakt het niet uit of je een technische truc hebt gebruikt of het wachtwoord hebt afgekeken of geraden. Als je er niet mag zijn, heb je binnengedrongen. Zelfs als het wachtwoord gewoon op internet stond (zoals bij het Welkom123-wachtwoord van het LCMS).

Ook is er een artikel over het gebruiken van betaaldiensten zonder daarvoor te betalen (art. 326c Strafrecht), hoewel je je daarbij kunt afvragen of dat ook geldt als er op zich gewoon betaald wordt voor de dienst (hoewel door een ander). Het idee van dit artikel is volgens mij meer het strafbaar stellen van descramblers of gebruik van kraaksoftware voor beveiligde diensten.

In de draad noemt een aantal mensen het diefstal. Dát betwijfel ik heel erg. Weliswaar heeft de HR in het Runescape arrest en het gelijktijdige SMS-bundelarrest bepaald dat je ook virtuele dingen en zelfs creditstegoeden kunt stelen, maar het ging daar om concrete items met waarde die worden verbruikt. Bij Spotify is er niet zoiets. Je kunt niet 1 unit Spotify van iemand verbruiken, zoals je een SMS uit een bundel of een credit verbruikt. Daarom kun je Spotify niet stelen.

Tenzij je zegt: hij heeft het account zélf gestolen. Dan moet je aantonen dat een Spotify-account (naam en wachtwoord) een concreet item is met waarde (het is premium, dus ja), en dat je de macht daarover jezelf kunt toeëigenen (kan, verander het wachtwoord). Alleen zit ik dan nog met het punt van verbruik. Een SMS uit een bundel is verbruik, een Watt elektriciteit is verbruik, maar hoe is inloggen op Spotify ‘verbruik’?

Arnoud

Wanneer is het strafbaar met een nepnaam internet op te gaan?

| AE 7934 | Ondernemingsvrijheid, Privacy, Regulering | 15 reacties

facebook-profielRoel Stellinga (18) ontdekte vorige maand bij toeval dat zijn foto’s van Facebook werden misbruikt door ene ‘Oscar’. Dat las ik in het AD. Via dit nepprofiel – en dus met zijn foto’s – werden jonge meisjes benaderd. De les van Roels vader: “Als je je account niet goed afschermt, kan het blijkbaar toch vrij gemakkelijk gebeuren dat er misbruik wordt gemaakt van je foto’s.” Met aanverwant de vraag, hoe strafbaar is dat, een nepprofiel?

Op zich is het volgens mij niet strafbaar om een valse naam te gebruiken op internet. Sterker nog, dat is een goed idee vanwege de privacyproblemen die je tegen kunt komen als je onder je eigen naam online gaat.

Bij een naam hoort een plaatje, en als je naam vals is dan ligt het voor de hand om ook niet je eigen foto te gebruiken. Dat gebeurt evenzo massaal, en ook daar lijkt me (afgezien van auteursrecht van de fotograaf) weinig mis mee. Tenminste, zolang het plaatje evident niet de indruk wekt jouzelf af te beelden.

Gebruik je andermans profielfoto, dan wek je de indruk dat jij die persoon bent. Dan zou de vraag voor mij worden, kan jouw publiek die persoon herkennen en dus denken dat jij het bent? Het maakt nogal uit of je zoals hier een foto van een stadsgenoot gebruikt of van een willekeurige Amerikaan als je in Nederland actief gaat chatten en profielen. In dat laatste geval zie ik juridisch gezien niet echt een probleem.

Als je iemand anders identiteit aanneemt, dan heet dat juridisch identiteitsfraude en dat is strafbaar. De wet (art. 231b Strafrecht) bepaalt:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

(‘Verhelen’ betekent ‘verhullen, achterhouden’.) Hiermee is het dus eenvoudiger geworden dan vroeger: toen was identiteitsfraude op zich niet strafbaar maar moest er ook een ander strafbaar feit worden gepleegd, zoals oplichting of smaad.

Die ander moet “enig nadeel” lijden door de fraude. Enkel chatten met andermans foto lijkt me niet snel ‘nadeel’, tenzij je zoals hier de grens van het strafbare grooming van minderjarigen opgaat. Dat kan immers afstralen op de geportretteerde persoon. Ook het mensen geld aftroggelen omdat ze je herkennen als die ander en bv. een schuld willen aflossen of jou iets lenen, is een vorm van “nadeel” dat onder deze wet strafbaar is.

De praktijk is natuurlijk buitengewoon weerbarstig bij dit soort zaken. Ik verwacht dat je weinig meer voor elkaar zult krijgen dan Facebook het profiel laten opdoeken – NAW-gegevens opeisen bij het sociale netwerk is een theoretische optie, maar vooralsnog niet heel succesvol. Aangifte kan, maar ik heb nog geen succesvolle verhalen daarover gehoord.

Wat zouden jullie doen als je in Roels positie verkeerde?

Arnoud

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Ondernemingsvrijheid, Regulering | 30 reacties

albert-heijn-akkoord-voorwaarden-nee-nee-neeEen lezer vroeg me:

Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen een bug aanloopt, waarbij het systeem ‘bleep’ doet als indicatie dat het product gescanned is, maar het product niet op de virtuele kassabon terecht is gekomen.

De oude voorwaarden van zelfscannen kan ik zo niet meer vinden, maar inderdaad, in de voorwaarden van de app staat nu:

Blijkt bij controle dat niet alle producten zijn gescand nadat u uw (mobiele) Bonuskaart bij de betaalpaal hebt gescand, dan beschouwen wij dit als diefstal en kunnen wij aangifte doen.

Dat klinkt nogal streng, want er wordt inderdaad geen ruimte gelaten voor de situatie dat er wél is gescand maar dat niet is geregistreerd. Ook niet voor situaties waarin je oprecht vergeten was iets te scannen, hoewel dat natuurlijk geen sterk argument is als je bij de uitgang van een supermarkt staat.

Echter, het is niet zo dat je een strafbaar feit begaat enkel omdat iemands algemene voorwaarden zeggen dat dat zo is. Natuurlijk mag men aangifte doen als men meent dat je iets strafbaars hebt gedaan, maar de inhoud van je contract met het bedrijf is daarbij niet relevant.

Je steelt als je iets wegneemt met de bedoeling je dat toe te eigenen zonder te betalen. En die bedoeling moet bewezen worden. Enkel dat je met een product in je handen buiten staat, is daarvoor niet genoeg. Je kunt iets vergeten zijn te scannen, of de software werkte niet goed. Die opties moeten worden uitgesloten voordat men kan bewijzen dat je het product stiekem wilde meenemen.

Een aanvullend punt van de vraagsteller was nog hoe het zit met de broncode. Zonder de broncode van de zelfscanapp kun je niet bewijzen hoe deze werkt, dus dan sta je zwak als je wilt aantonen dat er een bug in de software zit. Dat is een lastige. Er is geen recht om broncode van bewijsmiddelen op te eisen. De enige manier die ik hier kan bedenken, is een kennis nogmaals eenzelfde set aankopen te laten doen en dat filmen om zo vast te leggen dat hij vaker die fout maakt. Maar als het een eenmalige bug was (of afhankelijk van de stand van de maan in combinatie met het aantal mobiele telefoons in de buurt én het feit dat de rozijnen in de bonus waren) dan wordt dit wel heel moeilijk inderdaad.

Arnoud

De strafbaarheid van gestolen naaktfoto’s

| AE 6940 | Ondernemingsvrijheid, Privacy, Regulering | 43 reacties

Nooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei… Lees verder

BeWifi bundelt bandbreedte bij buren

| AE 6338 | Innovatie, Ondernemingsvrijheid | 9 reacties

Het Spaanse telecombedrijf Telefonica heeft onder de naam BeWifi een technologie ontwikkeld die het mogelijk maakt om extra bandbreedte van naburige modems te ‘lenen’ via wifi, meldde Tweakers zondag. Modems met BeWifi aan boord werken met elkaar samen; als een modem capaciteit over heeft, deelt hij die met een ander modem dat net hevig staat… Lees verder

Een brakke beveiliging hebben, waarom is dat niet strafbaar?

| AE 5575 | Regulering, Security | 28 reacties

Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig. Het is strafbaar om binnen… Lees verder

Als je bij een webshop gestolen waar koopt, moet je het dan teruggeven aan de eigenaar?

| AE 5587 | Ondernemingsvrijheid, Regulering | 16 reacties

Intrigerende vraag via Twitter: als je iets koopt via een webshop dat gestolen blijkt, moet je het dan teruggeven als de bestolen eigenaar opduikt? Wanneer een zaak gestolen wordt, wordt deze vaak doorverhandeld (heling). Dat is verboden, en terecht dan ook dat de wet bepaalt dat de werkelijke eigenaar het gestolene mag terugeisen van de… Lees verder

Maar hij staat dáár!

| AE 5427 | Security | 21 reacties

Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat… Lees verder