Is het strafbaar om gestolen bitcoins te kopen?

| AE 6963 | Regulering | 21 reacties

bitcoin-cc-by-sa-flickr-zach-copleyEen lezer vroeg me:

Stel ik koop bitcoins die via een misdrijf zijn verkregen. Ben ik dan strafbaar, of hangt dat af van of ik wist van dat misdrijf? Plus, moet ik ze teruggeven?

In Nederland is het strafbaar als witwassen (art. 420bis Strafrecht) om de werkelijke aard, de herkomst of vindplaats van een goed (fysieke spullen, maar ook vermogensrechten, en dus ook digitaal geld) te verhullen terwijl je weet (of had moeten weten, 420quater) dat dat goed afkomstig is uit een misdrijf.

Witwassen van bitcoins is vrij eenvoudig, want het is onmogelijk te zien door welke transactie de bitcoins zijn verkregen. Ja, je kunt terug in de transactieledger maar daaraan kun je alleen zien dát bitcoins van Alice komen, en niet of dat door diefstal van Alice haar wallet is gebeurd of door een vrijwillige transactie door Alice. En om diezelfde reden is het voor koper Bob niet snel denkbaar dat hij schuldig is aan witwassen – hij kon het niet weten, tenzij bitcoindief Charlie hem daar aanleiding toe gaf.

En dan nog een leuke: als Alice Bob weet te traceren, kan ze dan de bitcoins terugeisen? De wet bepaalt dat de werkelijke eigenaar het gestolene mag terugeisen van de partij die het onder zich heeft. Juridisch heet dat recht van terugeisen revindicatie (art. 5:2 BW), en bij diefstal moet dit binnen drie jaar na de diefstal worden uitgeoefend. De koper moet dan maar zien of en hoe hij zijn geld terugkrijgt van de verkoper.

Op dit principe geldt een uitzondering: wie het gestolen goed krijgt van “een vervreemder die van het verhandelen aan het publiek van soortgelijke zaken anders dan als veilinghouder zijn bedrijf maakt in een daartoe bestemde bedrijfsruimte” (art. 3:86 BW), hoeft het niet terug te geven. De wet eist hierbij wel dat de vervreemder zaken doet in een gebouwde onroerende zaak. Hiermee wil men achterbakhandelaars en marktkraamhouders uitsluiten van de uitzondering, maar als onbedoeld bijeffect van die baksteenvereisende definitie zijn webwinkels nu óók uitgesloten van deze uitzondering. Het lijkt me redelijk dat een beetje webwinkel hier toch echt ook onder moet vallen, mits vergelijkbaar met zo’n bakstenen bedrijfsruimte. Ik kan er werkelijk niet bij dat een koop bij een winkeltje om de hoek wél en een koop bij Bol.com niet beschermd zou zijn.

Of een Bitcoinexchange hieronder valt, is dus nog maar zeer de vraag. Exchanges doen geen zaken in gebouwde onroerende zaken, en je zou ze ook prima als veilinghuizen kunnen zien waardoor ze om nog een reden er niet onder vallen. Dus ja, in principe kan Alice ze terugvorderen van Bob binnen drie jaar na de transactie. Mits ze kan bewijzen dat het haar bitcoins waren en dat iemand ze heeft gestolen. En hoe doe je dát?

Arnoud

De strafbaarheid van gestolen naaktfoto’s

| AE 6940 | Ondernemingsvrijheid, Privacy, Regulering | 43 reacties

simpsons-cloud-diefstal-data-fotoNooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei figuren om dit “The Fappening” te noemen. Ondertussen wordt er hard opgetreden en vele forums zijn bezig links en foto’s te verwijderen.

In Nederland hebben we een aantal jaren terug iets vergelijkbaars meegemaakt. In deze zaak had iemand privéfoto’s van een televisiepresentatrice gekopieerd en verspreid na inbraak op haar thuisnetwerk. Hij kreeg hiervoor een werkstraf en 3.000 euro boete, hoewel de Hoge Raad uiteindelijk de zaak gedeeltelijk ongeldig verklaarde omdat er onjuist was gedagvaard.

Dat het verkrijgen van die foto’s strafbaar is, lijkt me niet echt een discussie. Ook niet als het bleek te gaan om misbruik van een zwak wachtwoord – voor computervredebreuk is niet nodig dat je een sterke beveiliging omzeilt of hele ingewikkelde dingen doet.

Het publiceren van deze foto’s is evenzo strafbaar. Dit levert namelijk op “het openbaar maken van een portret zonder daartoe gerechtigd te zijn” (art. 30 Auteurswet). En natuurlijk kun je ook als slachtoffer een schadeclaim indienen (onrechtmatige daad, schending van portretrecht) wanneer zo’n privéfoto wordt gepubliceerd.

Ik zie diverse persmedia de beelden publiceren, vermoedelijk vanuit het idee dat dit hoort bij hun taak van het publiek informeren over het nieuwsfeit dat die foto’s gestolen zijn. Maar als het gaat om gestolen privéfoto’s dan is de rechtspraak streng: er is eigenlijk géén nieuwsbelang te bedenken dat rechtvaardigt dat je die foto publiceert. Dat weten we bijvoorbeeld uit deze zaak waarin de digitale camera van prinses Maxima gestolen werd. Dat nieuwsfeit melden mocht (natuurlijk) maar wat foto’s uit die camera erbij diende geen algemeen belang.

Maar mag je ze hebben op je eigen computer, in het kader van je deelname aan The Fappening of gewoon uit nieuwsgierigheid? Dat is een lastige. Momenteel is het niet strafbaar om digitale gegevens te bezitten die uit misdrijf zijn verkregen. Digitale heling is dus niet strafbaar. In het nieuwe wetsvoorstel computercriminaliteiter zal dit veranderen: er komt tot een jaar cel te staan op het verwerven of voorhanden hebben van “niet-openbare gegevens” wanneer je wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen (nieuw art. 139f Strafrecht). Echter:

Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download. Zonder deze beperking zou het van het internet downloaden van gegevens die eerder door misdrijf zijn verkregen en door een ander zijn geupload in het algemeen strafbaar worden.

Wel is er een apart lid dat bepaalt dat als je het eenmaal weet en je ze uit winstbejag bewaart of gaat gebruiken (ahem) je alsnog strafbaar bent. Denk aan bedrijfsgeheimen die je downloadt van pastebin en daarna gebruikt om je eigen bedrijf te verbeteren.

En toch nog even een vraag voor de “vrijheid van meningsuiting/informatievrijheid staat voorop”-mensen: mogen deze foto’s nu eeuwig online blijven, nu ze ondertussen effectief publiek zijn geworden? Er zijn vertoningen op televisie geweest, diverse kranten hebben foto’s afgedrukt en ga zo maar door. Of mag in dit geval misschien de privacy het toch winnen?

Arnoud

BeWifi bundelt bandbreedte bij buren

| AE 6338 | Innovatie, Ondernemingsvrijheid | 9 reacties

bewifiHet Spaanse telecombedrijf Telefonica heeft onder de naam BeWifi een technologie ontwikkeld die het mogelijk maakt om extra bandbreedte van naburige modems te ‘lenen’ via wifi, meldde Tweakers zondag. Modems met BeWifi aan boord werken met elkaar samen; als een modem capaciteit over heeft, deelt hij die met een ander modem dat net hevig staat te downloaden. Ars Technica gaat er dieper op in en lokt lezers met “lets you steal your neighbor’s wifi”. Eh, kan dat dan, bandbreedte van de buren stelen?

Diefstal van niet-tastbare dingen is juridisch een lastig ding. Hoewel in 1921 de Hoge Raad al bepaalde dat elektriciteit kon worden gestolen, werd in 1996 het dan weer onmogelijk geacht om software te stelen. Het kenmerkende verschil? Elektriciteit had waarde én uniciteit: als ik het gebruik, kun jij dat niet meer gebruiken. Software heeft die eigenschap niet. Je kunt software alleen kopiëren. Toegegeven, je kunt software ook vernielen (wissen) maar strafrechtelijk gezien zijn kopiëren en wissen twee handelingen en diefstal is er maar eentje.

In 2012 kregen we het Runescape-arrest: virtuele goederen zoals zwaarden in een online spel kunnen worden gestolen. En op diezelfde dag werd ook het Belminuten-arrest gewezen, waarin werd bepaald dat het verbruiken van iemands sms- belbundel óók diefstal was. Ook hier speelde die uniciteit een rol: stuur jij 300 smsjes met mijn telefoon, dan kan ik dat niet meer (binnen de bundel dan). En die virtuele goederen zijn weliswaar eigenlijk software, maar software binnen een omgeving die gemaakt was om dingen te verplaatsen. Dat zwaard wordt niet gekopieerd en gewist, maar in één atomaire operatie verplaatst.

Hoe zit dat dan met bandbreedte? Die kost geld (en heeft dus waarde), en als ik de bandbreedte vol opslurp dan kan mijn buurman die niet meer gebruiken. Alleen: die waarde is niet gekoppeld aan de mate van slurpen. En daarom is bandbreedte niet te stelen. Tenminste niet bij wifi-bandbreedte; bij een 3G netwerk voor mobiel internetten wordt er wel per megeabyte afgerekend, dus uit een internetbundel kan worden gestolen net zoals uit een sms-bundel.

In 2008 was er nog een zaak waarin “diefstal van bandbreedte” ten laste werd gelegd aan een verdachte die een computer had geinstalleerd in het vals plafond van een studentenflat om zo van de snelle internetverbinding daar te profiteren. Door ongeoorloofd gebruik te maken van bandbreedte verliest de rechthebbende immers hierover niet noodzakelijkerwijs de feitelijke macht, aldus de rechtbank toen. Hij heeft nog steeds controle over de netwerkverbinding en kan deze nog steeds gebruiken. De snelheid wordt minder, maar ‘snelheid’ is geen meetbare eigenschap met uniciteit.

Overigens krijg ik de indruk dat BeWifi alleen maar werkt als beide buren eraan meedoen. En het lijkt me dat als je een modem installeert waarvan je weet dat het bandbreedte deelt met de buren, je onmogelijk nog van diefstal kunt spreken als die buren zich bandbreedte laten toebedelen. Nog even afgezien van het punt dat BeWifi belooft dat je er zelf niets van merkt – de buren worden afgeknepen zodra je zelf weer gaat internetten.

Arnoud

Een brakke beveiliging hebben, waarom is dat niet strafbaar?

| AE 5575 | Regulering, Security | 28 reacties

Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig. Het is strafbaar om binnen… Lees verder

Als je bij een webshop gestolen waar koopt, moet je het dan teruggeven aan de eigenaar?

| AE 5587 | Ondernemingsvrijheid, Regulering | 16 reacties

Intrigerende vraag via Twitter: als je iets koopt via een webshop dat gestolen blijkt, moet je het dan teruggeven als de bestolen eigenaar opduikt? Wanneer een zaak gestolen wordt, wordt deze vaak doorverhandeld (heling). Dat is verboden, en terecht dan ook dat de wet bepaalt dat de werkelijke eigenaar het gestolene mag terugeisen van de… Lees verder

Maar hij staat dáár!

| AE 5427 | Security | 21 reacties

Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat… Lees verder

Heeft het nut om IMEI’s van gestolen telefoons te blokkeren?

| AE 4567 | Security | 27 reacties

KPN, Vodafone en T-Mobile gaan vanaf volgend jaar op verzoek van de politie gestolen telefoons mogelijk onbruikbaar maken, las ik bij Tweakers. Elke telefoon heeft een zogeheten International Mobile Equipment Identity of IMEI nummer, dat meegestuurd wordt naar het netwerk als je je aanmeldt of wilt bellen. Door dit nummer bij de telefonieprovider te checken… Lees verder

“Stelen van broncode is niet strafbaar”

| AE 2979 | Security | 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden…. Lees verder

“Stelen van broncode is niet strafbaar”

| AE 4556 | Security | 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden…. Lees verder