Is achterafbetalen een wettelijk beveiligingsgat?

| AE 10739 | Ondernemingsvrijheid | 53 reacties

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder het doorheeft, ben jij allang weg met het pakket. Volgens de politie zijn er jaarlijks ‘honderden slachtoffers’ van deze vorm van fraude. Wat in de comments de vraag opriep: waarom bieden winkels dan nog achterafbetalen aan?

Nou ja, omdat dat moet van de wet natuurlijk. Artikel 7:26 lid 2 BW bepaalt dat een consumentkoper tot hooguit 50% vooruitbetaling kan worden gedwongen, en internetaankopen tellen nu eenmaal als vooruitbetaling omdat de levering altijd later gebeurt. Je kunt mensen niet zomaar afstand laten doen van dit recht, in ieder geval niet in je algemene voorwaarden of iets dergelijks generieks.

Het probleem is natuurlijk dat deze wijze van afrekenen specifiek in de internetcontext fraudegevoelig is. Stuur het pakket naar adres A, en de factuur later naar B. Tegen de tijd dat B aangesproken wordt op wanbetaling, is het pakket al lang weg bij A. En die heeft dan weer geen idee wie het heeft opgehaald.

Natuurlijk kun je als winkel je hiertegen proberen te wapenen, bijvoorbeeld door geen bestelling van nieuwe klanten te accepteren op achterafbetaling als er een ander afleveradres wordt opgegeven. Maar daarom zijn zulke accounts waardevol: die hebben een koopgeschiedenis en zijn daardoor vertrouwd, dus als daar een keer een ander adres komt, dan is dat prima. En dan gaat het dus mis.

Achteraf betalen is dus een wettelijk recht, maar specifiek bij accounts is er denk ik wel een truc: laat mensen in hun accountinstellingen bepalen dat zij afstand doen van deze optie. Dat mag van de wet (art. 7:6 BW, dit is geen algemene voorwaarde), en zo voorkom je dat je account wordt misbruikt met deze manier. Natuurlijk kan de dief de optie weer aanzetten, maar als je het combineert met “eerst een bestelling naar je huidige adres” dan is de impact te overzien.

Wie weet een betere?

Arnoud

Winkeliers mogen luxeartikelen niet op Amazon verkopen

| AE 9993 | Ondernemingsvrijheid | 7 reacties

Fabrikanten van luxeartikelen mogen winkeliers verbieden om die producten ook aan te bieden op Amazon en andere online marktplaatsen. Dat meldde het FD vorige week. Cosmeticaproducent Coty Duitsland had een winkel gedagvaard wegens verkoop op Amazon van hun producten. De zaak liep op tot het Hof van Justitie, dat op 6 december bevestigde dat dit mocht. Daarop kreeg ik veel vragen, of nu wederverkoop op die platforms volledig verboden zou gaan worden. Nou nee: een belangrijke nuance die veel nieuws hierover mist, is dat het moet gaan om officiële wederverkopers van de luxeproducten.

Al decennia geldt in Europa het vrij verkeer van goederen. Wie een product legaal op de Europese markt verwerft, mag dat doorverkopen en de merkhouder of fabrikant kan dat niet verbieden en er zelfs geen eisen aan stellen. Dus een wederverkoper verbieden je merk te gebruiken of hem het recht ontzeggen een restpartij op Marktplaats.nl te zetten is gewoon niet mogelijk.

Nu is een merkhouder of fabrikant natuurlijk niet verplicht om aan je te leveren, dus het is mogelijk om met verkoopcontracten een gesloten distributiesysteem op te tuigen. In die contracten staat dan waar je wél mag verkopen en op welke manier, waarbij het dan op papier mogelijk is om te zeggen “alleen in de winkel” of “niet op grote online marktplaatsen”. Omdat dit interfereert met dat beginsel van het vrije verkeer, zitten daar dan wel weer strenge regels op.

In deze zaak speelde precies die situatie. Het merk Cozy verkoopt luxe cosmetica en had contractueel de distributie dichtgetimmerd, waarbij onder meer de eis gold dat elk verkooppunt goedgekeurd moest zijn en dat

de depositair het recht [heeft] de producten via internet aan te bieden en te verkopen. Voorwaarde is echter dat de internetactiviteiten van de depositair als ‚elektronische etalage’ van de erkende winkel plaatsvinden en dat het luxekarakter van de producten onaangetast blijft.

De wederverkoper stapte naar de rechter met de stelling dat hiermee het vrij verkeer van goederen werd aangetast en de vrije mededinging werd gehinderd. Al eerder was uitgemaakt dat een selectief distributiestelsel in principe mag, wanneer de wederverkopers worden gekozen op grond van objectieve, uniforme criteria en wanneer het passend is voor die producten (bijvoorbeeld wanneer de luxe-uitstraling een essentieel onderdeel is van het product, hetgeen bij cosmetica natuurlijk voor 99% de prijs bepaalt). De nieuwe vraag was dus, mag bij zo’n distributiestelsel dan ook verkoop via internet worden verboden?

Omdat het hier gaat om een luxeproduct waarbij een duidelijke specifieke uitstraling werd gezocht, mag de fabrikant/merkhouder die uitstraling ook verlangen bij verkoop via internet. Ze mag dus bijvoorbeeld eisen stellen aan hoe de webshop eruit mag zien.

Bij platforms van derden (zoals Amazon dus) ligt dat wat moeilijker. Die hebben hun eigen uitstraling en daar is als winkelier weinig aan te doen. Is dat genoeg om te zeggen dat handel op die platforms niet mag, omdat laten we zeggen de luxe-uitstraling een tikje minder is? Ja, aldus het Hof, omdat 90% van dit soort selectieve handel via de fysieke winkel en/of webwinkel van de winkeliers gaat en niet via deze platforms:

zoals blijkt uit [onderzoek van de Europese Commissie zijn het] de eigen webshops van de wederverkopers, die door meer dan 90 % van de ondervraagde wederverkopers worden gebruikt, ondanks de toenemende betekenis van platforms van derden bij het op de markt brengen van producten door wederverkopers, het voornaamste distributiekanaal in het kader van de distributie op internet vormen.

Wanneer die grote platforms dus én een lage uitstraling hebben én slechts een marginaal kanaal vormen, dan is het geen wezenlijke inperking van de handelsvrijheid om verkoop via die platforms te verhinderen. Ja, dat is een cirkelredenering. Maar in theorie zou een winkelier dus kunnen onderhandelen dat hij wél op die manier mag verkopen, en na verloop van tijd zou daarmee de platformverkoop belangrijker kunnen worden.

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Mag ik bij een nonconform Playstation-spel mijn geld terug?

| AE 8922 | Ondernemingsvrijheid | 21 reacties

Een vraag via het Kassa-forum: Ik heb een spel gekocht via de Playstation Store en dit spel vertoont heel veel problemen (bugs) die het spel onspeelbaar maken. … Nu heb ik contact opgenomen met Sony en hun stellen dat ik contact op moet met leggen met de 3de partij (Telltalegames) om proberen de probleemen op… Lees verder

Uw bestelknop mag op de schop

| AE 3017 | Ondernemingsvrijheid | 69 reacties

Een lezer wees me op een Duitse blog over een nieuwe wet die eerlijker zaken doen op internet moet bevorderen. Meer specifiek ging het over een reactie daaronder: Ein Einkauf in ausländischen Shops ist für deutsche Verbraucher damit zuküntig eigentlich nicht mehr rechtsicher möglich. Oftewel: zodra die Duitse wet er door is, kunnen Duitsers niet… Lees verder

Camera besteld, niet op voorraad, prijs wordt ineens verhoogd

| AE 2561 | Ondernemingsvrijheid | 37 reacties

Een lezer wees me op een Fok!-draadje: Ik heb laatst online een camera besteld bij Foto de Vakman. Deze kostte me 1850 euro. Hij was er niet op voorraad vanwege de de slechte leverbaarheid. De Nikon fabriek in Japan waar die vandaan moet komen was getroffen door de aardbeving van een tijdje terug. Daardoor duurt… Lees verder

Typefout bij prijs LCD-televisie niet bindend voor webwinkel

| AE 802 | Informatiemaatschappij | 5 reacties

Otto hoeft geen lcd-televisies te leveren voor 99 euro, ook al stond de tv eind 2006 voor deze prijs op de website. Dat meldt NU.nl naar aanleiding van het arrest in hoger beroep van de Stichting Postwanorder. Een hele opluchting voor veel webwinkels. Een typefout betekent niet dat je automatisch vastzit aan het getoonde aanbod…. Lees verder