Tag: Fraude

About Fraude

Subscribe Feeds

De nieuwe veiligheidsregels van de banken

Geplaatst op in Ondernemingsvrijheid, Security, 74 reacties

bank-inloggen.pngEen lezer vroeg me:

De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan ben ik aansprakelijk voor fraude als ik die regels overtreed. Mag dat zomaar?

Deze nieuwe veiligheidsregels zijn door de banken opgesteld (in overleg met de Consumentenbond) maar ze kunnen natuurlijk de wet niet wijzigen. Hoofdregel bij fraude met betaalmiddelen is dat de bank het risico draagt (art. 7:529 BW). De bank heeft het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren. De bank mag de klant een eigen risico geven van €150 bij bij verlies en diefstal (tot het moment van melding) en bij ongeautoriseerd gebruik wanneer de klant de veiligheidsmaatregelen heeft verwaarloosd.

Lid 2 van art. 7:529 BW bepaalt dat bij fraude, opzet en grove nalatigheid van de klant deze zelf het risico moet dragen. Bij fraude en opzet is dat logisch: wie dat soort dingen doet, kan toch niet verwachten dat de gevolgen vergoed gaan worden. Maar bij “grove nalatigheid” is dat toch moeilijker. Wanneer is iemand nalatig? Wanneer is dat grof?

Uit de (schaarse) rechtspraak blijkt dat grove nalatigheid bepaald moet worden aan de hand van alle omstandigheden van het geval. Er zijn geen algemene regels zoals “als je dagelijks controleert of je je pas nog hebt, is het nooit nalatig” of juist “stop je je creditcard in je tas dan is dat altijd nalatig”. Zo achtte het Gerechtshof Arnhem het niet grof nalatig dat een klant na een vermoeden van zakkenrollen wél naging of zij haar portemonnee nog had, maar niet of de pinpas daar nog in zat. Dit maakt het moeilijk om op voorhand te zeggen of in een concrete situatie sprake is van grove nalatigheid.

De bewijslast dat sprake is van grove nalatigheid (of opzet/fraude) ligt bij de bank. En die bewijslast houdt meer in dan zeggen “er is gepind met de pas van klant dùs is sprake van grove nalatigheid.” Er moeten feiten of omstandigheden worden aangedragen door de bank waaruit blijkt dat de klant meer dan normaal slordig was.

Veiligheidsvoorwaarden staan apart in de wet genoemd. Er staat expliciet dat je verplicht bent als klant deze voorwaarden op te volgen (art. 7:524 BW). Doe je dat niet, dan kan de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties. Hij kan ook besluiten dat het eigen risico toch gewoon geldt, of zelfs het eigen risico omlaag doen, afhankelijk van de aard van het misbruikte beveiligingsprobleem. Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen “u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies” gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).

Wat de banken met deze nieuwe regels proberen te doen, is allereerst de regels gelijktrekken, wat op zich prima is. Maar het lijkt óók een poging om eerder te kunnen zeggen “u overtrad de veiligheidsvoorwaarden dús u bent grof nalatig”. Bij de rechter is dat echter geen automatisme, hoewel je met deze nieuwe regels denk ik wel meer uit te leggen hebt.

Een punt hierbij is in ieder geval wel dat er een link moet zijn tussen de overtreding en de fraude. Zo is er een regel die installeren van illegale software verbiedt. Maar het enkele feit dat ik een gekraakte Photoshop op mijn Windowslaptop heb, betekent niet dat schade door een Android-trojan automatisch voor mijn rekening moet komen. Echter, kwam een Windowstrojan mee met die gekraakte Photoshop, dan ga ik wél voor de bijl. De discussie wordt leuk bij een geplunderd Windows-systeem mét illegale software. Wie moet nu bewijzen dat die illegale software wel of niet een trojan meegeleverd heeft? En trouwens, hoe gaat men überhaupt bewijzen dat er iets illegaals op mijn laptop stond?

Omgekeerd staat er echter ook dat als je je aan alle gestelde regels houdt, je per definitie niet grof nalatig was. Dat is immers wat men bedoelt met “weten [consumenten] dan zeker dat de bank de schade vergoedt.”

Arnoud

Marktplaatsoplichting is geen oplichting???

Geplaatst op in Ondernemingsvrijheid, Regulering, 27 reacties

Het niet leveren van spullen via Marktplaats terwijl daarvoor door slachtoffers wel is betaald, is niet altijd oplichting, las ik bij Webwereld. En dat terwijl de man met voorbedachten rade niet van plan was te leveren. Willens en wetens adverteren en mensen laten betalen terwijl je de spullen niet hebt, lijkt mij vrij evident oplichting maar dat is dus niet de Nederlandse wet. Je moet een “listige kunstgreep” of “valse hoedanigheid” aannemen, en “hoi ik heb een iPhone te koop” zeggen terwijl je die niet hebt, is niet listig en niet vals. U mag nu allemaal even hardop dafuq zeggen, dat doe ik ook.

Dit is niet een gekke rechter die internet niet begrijpt, maar een op zich gebruikelijke toepassing van de vaste rechtspraak van de Hoge Raad: wie niet levert, pleegt wanprestatie en dat moet de koper dus maar bij de burgerlijke rechter oplossen. En dat je niet weet wie je verkoper is, tsja dat is jouw probleem:

[Consumenten] kunnen immers het risico op moedwillige wanprestatie afwenden door hun aankoop te doen bij een (web)winkel waarvan de betrouwbaarheid is gebleken en/of die de mogelijkheid biedt tot betaling bij levering of op een later tijdstip.

Kortom, het is juridisch gewoon je eigen domme schuld dat je niet koopt bij een betrouwbare webwinkel en/of dat je vooruit betaalt terwijl dat wettelijk gezien helemaal niet hoeft. Dat je niet of nauwelijks kúnt weten of een webwinkel betrouwbaar is en dat je in de praktijk vrijwel altijd vooruit móet betalen, tsja luister eens dáar kunnen we geen rekening mee houden in de rechtspraak.

Er is echt meer nodig, want de wet eist een listige kunstgreep (een oplichtingstruc) of een valse hoedanigheid. Nou zou ik dus zeggen, het is evident listig en vals om dingen aan te bieden terwijl je volstrekt niet van plan bent ze te leveren – sterker nog terwijl je van plan bent virtueel hard weg te rennen zodra je het geld hebt. Maar nee, aldus ons hoogste rechtscollege:

De enkele omstandigheid dat iemand zich in strijd met de waarheid voordoet als een bonafide huurder die in staat en voornemens is het gehuurde goed na ommekomstvan de overeengekomen huurperiode terug te geven aan de verhuurder, levert niet op het aannemen van een valse hoedanigheid noch een listige kunstgreep in de zin van art. 326 Sr.

Ja, ik ben sarcastisch maar ik kan me dus écht kwaad maken over dit soort dingen. Iedereen wéét wat het probleem is, je voelt op je klompen aan dat de handelaar niet bona fide is maar toch willen we dat gewoon niet strafbaar maken. Die lagere rechters kan ik het niet verwijten: als ze wél zouden veroordelen dan gaat men gegarandeerd in hoger beroep en volgt alsnog vrijspraak. Tijd dus om hiermee opnieuw naar de Hoge Raad te gaan – of beter nog, naar de wetgever zodat die de definitie van ‘oplichting’ kan aanpassen. Want het loopt echt de spuigaten uit op dit moment.

Arnoud

Waarom kijken mensen niet verder dan hun muis lang is?

Geplaatst op in Informatiemaatschappij, 5 reacties

esta-aanvraagEen lezer wees me op deze blog over dubieuze ESTA-sites. Het Electronic System for Travel Authorization is een Amerikaans systeem om mensen die de VS in willen, al te screenen voordat ze in het vliegtuig stappen. Dat doe je met een online formulier. Maar er zijn ook allerhande sites te vinden die je hier graag bij helpen met hun eigen formulier – én extra transactiekosten, die kunnen oplopen tot 79 dollar per aanvraag. Dit terwijl het officiële traject 14 dollar kost.

De truc bij dit soort sites is dat mensen niet verder kijken dan hun muis lang is, zoals Ward van Beek het daar zo mooi omschrijft. Een wervende advertentie of een hoge organische positie in Google, een beetje officieel uitziende logo’s en donkerblauwe achtergrondbalkjes en vooral níet de naam van je BV ergens vermelden, en mensen denken al snel dat dit dé site is.

Op zich is het legaal om mensen te helpen bij het aanvragen van dingen bij de overheid, en dat hoef je echt niet gratis te doen. Een belastingadviseur of beroep-en-bezwaarkundige voor protest tegen verkeersboetes heeft gewoon een legitieme functie. En ik zou niet weten waarom dat niet zou gelden voor online diensten die helpen bij het invullen van andere online diensten.

Wél kan er sprake zijn van oplichting door de wijze van presenteren. Je past een ‘slinkse kunstgreep’ toe als je je voordoet als de officiële site, of de indruk wekt dat mensen je móeten inhuren om zo’n ESTA waiver te kunnen krijgen. Maar wanneer is daarvan sprake?

Ward linkt naar enkele sites waar ik toch wel wat twijfelachtige zaken zie. Het Nederlandse Visumplus bijvoorbeeld vermeldt

Zonder een ESTA kunt u niet naar de Verenigde Staten reizen. Een ESTA kunt u direct online aanvragen via VisumPlus wanneer u een paspoorthouder bent van een van de onderstaande Visa Waiver landen.

Beide zinnen kloppen: zonder ESTA mag je niet reizen, en de site hééft een online aanvraagsysteem dus het kán. Maar wat hier weggelaten wordt, is “dit kunt u ook zelf bij de Amerikaanse DHS”. Duh, roepen nu alle ondernemers – je gaat toch niet zeggen dat de concurrent goedkoper is? Nee klopt. Maar is een overheidsdienst ook een ‘concurrent’?

Er is in ieder geval geen wet die dit verbiedt, zolang de dienstverlener je natuurlijk maar daadwerkelijk een rechtsgeldige ESTA waiveraanvraag levert die door de DHS in behandeling wordt genomen. En dat doen al deze sites gewoon. Dus ja: handige jongens, maar niet verboden.

Arnoud

Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

Geplaatst op in Security, 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen.

Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met een eigen risico voor de klant van maximaal € 150.

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Wanneer daarvan sprake is, hangt heel erg van de specifieke situatie af. Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Dat inschatten wanneer nalatigheid grof is, blijkt nog een hele klus. De rechtspraak en uitspraken van de geschillencommissie laat nogal wat situaties zien, van open fietstassen tot portemonnees die met ketting aan de broek vastzitten maar waar dan stiekem de pinpas uit gehaald is.

Wat ik níet vond, waren uitspraken over internetbankieren en wanneer je laten pakken door phishers grove nalatigheid oplevert. Dat je in een criminele truc trapt, is niet automatisch grof nalatig zo blijkt uit een uitspraak over de “tientjestruc” (waarbij je afgeleid wordt door een tientje op de grond zodat men je net gepinde geld kan stelen).

Hebben jullie voorbeelden van wat je wél grof nalatig zou vinden bij internetfraude?

Arnoud

Mag de Belastingdienst in mijn achtertuin kijken met Google Earth?

Geplaatst op in Privacy, 16 reacties

google-earth-eindhoven.jpgEen lezer vroeg me:

Het is wat vroeg, maar ik was al begonnen met mijn belastingaangifte. En nu vroeg ik me ineens af, stel dat ik een zakelijk gekocht tuinmeubel privé gebruik in mijn achtertuin. Dat mag natuurlijk niet van de Belastingdienst, maar er staat een hoog hek om mijn tuin dus knappe inspecteur die daar achter komt. Via Google Earth zou hij het wel kunnen zien, maar mag hij dat eigenlijk wel? Is dat geen onrechtmatig verkregen bewijs?

De Belastingdienst verbiedt op zich niet zo heel veel, alleen ongewenste praktijken kunnen leiden tot extra heffingen. Zo mag je best zo’n meubel privé gebruiken, alleen merkt de Belastingdienst het dan aan als loon in natura zodat je een forse naheffing krijgt.

Hoe dan ook, inderdaad moeten ze er wel eerst achter komen. En dat zal niet meevallen met een grote schutting. Maar inderdaad kijkt Google Earth daar overheen, en als de inspecteur dus de moeite neemt daar gebruik van te maken dan heb je echt een probleem. Roepen dat het onrechtmatig verkregen bewijs is, gaat je niet helpen.

Ook de politie mag in deze openbare bron kijken, zo blijkt uit een recent vonnis. In deze fiscale strafzaak werd de maat van een advocatenkantoor vervolgd wegens belastingontduiking en valsheid in geschrifte. Zo werden er facturen en orderbonnen vervalst, en zouden er producten zakelijk gekocht zijn om die vervolgens privé te gebruiken zonder dit aan te geven als loonuitkering.

Onder meer had men bonnen gevonden voor lichtgele Bubble Club fauteuils, en daarna Google Earth geraadpleegd om te constateren dat deze in de eigen achtertuin van deze maat stonden.

Geverbaliseerd is hoe via Google Earth het privéadres van verdachte is opgezocht en hoe vervolgens is ingezoomd op de tuin van verdachte, waarin verbalisante twee gele stoelen zag staan die volgens haar grote gelijkenis vertonen met de door verdachte gekochte stoelen.

Ik had dat proces-verbaal graag gelezen, want verbalisantentaal is een wonderlijk mengsel van taalgebruik, waarbij elke zin moet beginnen met “ik, verbalisante”. Dus je krijgt dan iets als “ik, verbalisante, dubbelklikte op het icoon van Google Earth, waarna ik het adres invulde dat mij bekend was als het privéadres van verdachte invoerde. Daarna constateerde ik, verbalisante, dat de applicatie een inzoomende animatie vertoonde naar Nederland en vervolgens een afbeelding liet zien welke mij, verbalisante, voorkwam als een bovenaanzicht van het privéadres van verdachte inclusief diens achtertuin. Daarna zag ik, verbalisante, in deze kennelijke achtertuin twee gele stoelen staan die volgens mij grote gelijkenis vertonen met de door verdachte gekochte stoelen.”

Hoe dan ook: mag deze agente dit doen en de uitdraai vervolgens als bewijs gebruiken?

Die vraag is serieuzer dan je zou denken, want de politie mag bij de opsporing in principe alleen de middelen gebruiken die in de wet zijn aangewezen als opsporingsmiddel. (Weet u nog, het gedoe om het IP-bevriezingsbevel tegen RIPE uit december?) Het via Google Earth inzoomen op een private plaats is geen in de wet genoemde opsporingsmethode, betoogde de verdachte dan ook. En iemands achtertuin is toch een privéplek, zodat je er niet met de generieke regel uit artikel 2 Politiewet komt. Die mag alleen worden gebruikt als dat slechts een ‘geringe’ inbreuk op de privacy oplevert.

De rechtbank gaat daar niet in mee. Het via Google Earth inzoomen op een of meer plaatsen kan niet worden aangemerkt als het gebruik van bijzondere technische opsporingsmiddelen, “nu iedere burger bij het gebruik van het internet, zulks kan doen.” Dat gaat mij wat snel; een burger kan ook een camera plaatsen of een afluisterapparaatje installeren, en toch is dat wel degelijk een bijzonder middel.

Maar in de memorie van toelichting bij de Wet Computercriminaliteit II had de minister expliciet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 Politiewet 1993).

De rechtbank vindt, met deze uitspraak in het achterhoofd, het een keertje kijken op Google Earth een geringe inbreuk op de privacy die moet kunnen zonder speciale bevoegdheid. Ik denk met mede de overweging dat als de agente een pootje had gekregen van een collega en zo over de schutting had gekeken, er ook geen sprake was geweest van onrechtmatig verkregen bewijs. (“Ik, verbalisante, ontving vervolgens een zogeheten ‘pootje’ van medeverbalisante en verhief mij aldus tot ongeveer een decimeter boven de schutting van het huis van verdachte, alzo ik constateerde…”).

De verdachte krijgt een geldboete van ” 17.000 en een taakstraf van 40 uur.

Arnoud

Alweer een nieuwe spooknota: IPV6Register

Geplaatst op in Informatiemaatschappij, 19 reacties

De bedenkers van spookfacturen zitten niet stil: het nieuwste exemplaar is afkomstig van IPV6Register te Rotterdam, las ik bij ISPam. Deze grapjassen versturen faxen met de bekende truc van vragen om correctie van gegevens en dat opvatten als een akkoord voor een dure onzinnige dienst.

In dit geval wordt 189 euro gevraagd op een fax die eruit ziet als een factuur, met ook nog eens “Ipv6 registratie” als omschrijving. Hoe je een IPv6 registreert, is me volstrekt onduidelijk. En dan komt het: die fijne kleine lettertjes die alles anders maken:

Op grond van de aan ons op basis van deze offerte verleende opdracht welke als factureringsgrondslag dient, leveren wij u de navolgende dienst.

Yeah right. Welke dienst dan wel? Dan moet je wel héél goed lezen:

U ontvangt een inlogcode en wachtwoord waarmee u toegang krijgt tot het ipv6 register hierin vindt u een overzicht van gecertificeerde ipv6 hardware en diensten.

Opmerkelijk genoeg meldt ISPam dat

De kleine letters geven prijs, dat dit een offerte is: “Dit is een aanbieding en geen factuur.”. Verdere actie jegens IPV6Register is dan ook niet mogelijk.

En dat terwijl de nieuwsbron, het Steunpunt Acquisitiefraude, spreekt van “nodig”. Dat is correct – actie is niet nodig, je kunt de fax weggooien.

Maar niet mogelijk? Dat klopt echt niet: wie deze fax invult en retourneert, kan wel degelijk actie ondernemen om die vordering van 189 euro ongedaan te maken. De strekking van de fax is duidelijk: u moet dit bedrag betalen voor registratie van uw IPv6. De kleine lettertjes geven daar een draai aan, maar daarmee kom je echt niet weg bij de rechter.

In een andere zaak met een bijdehand opgemaakte fax was de rechter snel klaar met de kleine lettertjes:

In de fax wordt niet alleen de aandacht getrokken naar de in een kader geplaatste, vetgedrukte nietszeggende tekstgedeelten in normale lettergrootte, terwijl de essentialia klein en niet vet zijn gedrukt, maar ook lijkt de te maken keuze -wel of geen automatische verlenging- te verwijzen naar het telefoongesprek waarin is gevraagd of [gedaagde partij] de gratis vermelding wel of niet tegen betaling wilde voortzetten.

Het Hof Den Haag oordeelde in 2008 dat je niet vastzit aan een contract wanneer zo’n fax alleen in de kleine lettertjes meldt dat sprake is van een aanbod. Ik heb er dan ook geen twijfel over dat je niet hoeft te betalen als je deze fax toch zou tekenen en terugsturen, hoewel het natuurlijk wel een irritant gedoe gaat zijn om dit bedrijf daarvan te overtuigen.

Er loopt een proefproces van MKB Nederland over acquisitiefraude, maar dat zal nog wel even duren.

Arnoud

Doorzoeken van een privélaptop mag ook niet zomaar

Geplaatst op in Privacy, Security, 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens had van fraude.

In het originele vonnis vond de rechter het toegelaten dat de curator toegang mocht krijgen tot de laptop, maar in dit hoger beroep wordt dat echter teruggedraaid. De laptop was geen eigendom van het failliete bedrijf, dus kan de curator die niet zomaar opeisen. Wél heeft hij recht op inzage in de bedrijfsgegevens op die laptop. Hij mag een kopie van de data laten maken en deponeren bij een notaris om deze zo veilig te stellen.

Vervolgens is de vraag of de curator er ook iets mee mag doen. Mag hij de gegevens doorzoeken, of mag hij forensisch onderzoeksbedrijf IRS aan het werk zetten? Omdat het hier gaat om privacy, geeft het Hof geen algemene rechtsregel. Bij inbreuken op de privacy is het altijd afhankelijk van alle omstandigheden van het geval of het mag. Het Hof weegt dan ook de privacy van de jurist en het bedrijfsbelang van de curator tegen elkaar af. Wegen jullie mee?

In het voordeel van de jurist:

  1. het betreft een laptop in privé-eigendom;
  2. de privélaptop bevat ook “privacygevoelige privacybestanden”;
  3. de bedrijfsjurist werkte voor zakelijke doeleinden altijd via het zakelijke netwerk, zodat de betreffende gegevens ook via dat netwerk te vinden (zouden moeten) zijn.

In het voordeel van de curator:

  1. de curator heeft recht op de aan de failliet toebehorende informatie over haar administratie;
  2. de curator heeft belang heeft bij onderzoek daarvan;
  3. de bedrijfsjurist werkte dagelijks op deze laptop in het kader van zijn werk;
  4. de bedrijfsjurist was lid van het managementteam en dicht bij het bestuur werkzaam;
  5. de laptop is zowel zakelijk als privé gebruikt, zodat de bedrijfsjurist daarmee zelf heeft bewerkstelligd dat de gegevens vermengd zijn geraakt;
  6. niet is uit te sluiten dat zakelijke bestanden uitsluitend op de harde schijf van de laptop zijn opgeslagen.

De curator had aangeboden dat de jurist er de hele tijd bij mocht blijven, zodat hij kon piepen als er sprake zou zijn van privégegevens. Maar dat vond het Hof niet genoeg. De curator had namelijk te weinig instrumenten om toezicht op IRS te houden, bv. een contract waarin stond hoe IRS met de gegevens om zou gaan.

Collega Wouter Dammers van Solv advocaten maakt me nieuwsgierig met zijn opmerking dat de curator “op andere wijze(n) inzicht kunnen krijgen in de betreffende zakelijke gegevens, zonder een inbreuk te maken op de bescherming van de persoonlijke levenssfeer van de bedrijfsjurist.”

Ik ben heel benieuwd hoe dan. Dit is namelijk écht een lastig probleem. Je ontkomt er niet aan dat je als onderzoeker privégegevens tegenkomt als je gaat zoeken. Afgaan op wat de jurist in dit geval zegt, gaat niet: hij zou natuurlijk te kwader trouw belastende gegevens zogenaamd als privédata kunnen aanmerken zodat je daar niet kijkt.

Oftewel: hoe doorzoek je een privélaptop naar zakelijke gegevens zonder kennis te nemen van privégegevens?

(Ook het doorzoeken van een bedrijfspc mag niet zomaar trouwens.)

Arnoud

Skimmen toch strafbaar!

Geplaatst op in Security, 9 reacties

skimmen-diefstal-fraude-oplichting-foto-paul-wiegmans.jpgJa, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Update (7 december 2011) in een andere zaak wordt voor onder meer skimmen én het ook echt namaken van de passen, alsmede oplichting, een straf van negenendertig maanden cel opgelegd.

Arnoud<br/> Foto: Paul Wiegmans.

Opgelicht op Tweakers, mag ik zijn IP-adres?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 35 reacties

tweakers-vraag-aanbod.pngGisteren werd ik gewezen op een juridisch probleem bij Tweakers: een gebruiker meldde opgelicht te zijn na een aankoop op het Vraag&Aanbod-deel van de communitysite. Hij had betaald (weliswaar een zeer lage prijs, maar goed, het is tweedehands) maar de verkoper liet vervolgens niets meer van zich horen. En als je dan gaat zoeken en de naam van die verkoper op sites als Opgelicht.nl aantreft, dan ga je je toch zorgen maken. Maar wat kun je doen?

Op sites als Tweakers’ Vraag&Aanbod of Marktplaats.nl komt dit helaas vaker voor. Net als bij oplichting in een schimmig achterafsteegje is het vaak heel moeilijk om de oplichter te pakken te krijgen als die eenmaal er vandoor is met het geld. Maar het is hier misschien iets makkelijker, want er is één ding dat die oplichter altijd achterlaat: zijn IP-adres. En aan de hand daarvan zijn in principe zijn NAW-gegevens te achterhalen bij de provider. En daarmee kun je dan weer een civiele procedure starten om je geld terug te krijgen – of aangifte doen, al is mijn ervaring dat dat laatste weinig uithaalt tenzij iemand echt grootschalig bezig is.

Punt is natuurlijk wel dat een Tweakers (of Marktplaats, of Ebay, of…) niet zomaar IP-adressen van gebruikers mag afgeven. Die adressen zijn persoonsgegevens en de site heeft dan een wettelijke plicht om deze geheim te houden. Afgifte aan derden mag in principe alleen als daar een wettelijke basis voor is. Het verbaast dan ook niet dat Tweakers hier streng in is in haar algemene voorwaarden:

Tweakers.net zal geen andere gegevens verstrekken aan partij(en) dan de gegevens die in de advertentie zijn gebruikt, uitgezonderd in gevallen zoals bedoeld in artikel 8. Om die reden is een feedbacksysteem ingevoerd dat door de gebruiker zelf wordt geïnitieerd en dat helpt te bepalen met wie u zaken doet.

Toch zal dit Tweakers niet in alle gevallen helpen. Het kan namelijk soms verplicht zijn om IP-adressen af te geven aan een derde, ook aan een private partij. Dat blijkt immers uit het arrest Lycos/Pessers, waarbij Pessers wilde weten wie smadelijke zaken over hem op een Lycos-website had gezet. Uit die zaak blijkt dat er vier eisen zijn om als gedupeerde persoonsgegevens op te mogen eisen:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de gedupeerde heeft een reëel belang bij de verkrijging van de persoonsgegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de persoonsgegevens te achterhalen;
  4. afweging van de betrokken belangen van de gedupeerde, de tussenpersoon en de betrokken gebruiker (voor zover kenbaar) brengt mee dat het belang van de gedupeerde behoort te prevaleren.

Het is dus geen uitgemaakte zaak dat je een IP-adres kunt opeisen, maar ook geen vanzelfsprekendheid dat het nooit hoeft.

In oktober vorig jaar werd deze eis geherformuleerd in een rechtszaak tegen Gmail:

  1. Het moet voldoende aannemelijk zijn dat sprake is van onrechtmatig handelen van de desbetreffende gebruiker.
  2. Het dient buiten redelijke twijfel te zijn dat degene van wie de gevraagde persoonlijke gegevens ter beschikking dienen te worden gesteld ook daadwerkelijk degene is die zich aan dit handelen schuldig zou hebben gemaakt.

Een groot struikelblok is meteen al de eerste eis. Die is geschreven voor situaties waarin een publicatie op internet zelf onrechtmatig is: een smadelijke website, of een illegaal geüpload muziek- of filmwerk bijvoorbeeld. Dat is nog wel enigszins objectief te beoordelen, hoewel bij smaad lang niet altijd. Maar hier is niet zozeer de advertentie onrechtmatig, maar de afhandeling ervan. En dat is een heel stuk lastiger na te gaan voor Tweakers: wie spreekt er de waarheid? Is deze klagende persoon werkelijk gedupeerd of wil hij om andere redenen dat IP-adres te pakken krijgen?

Ik zou zeggen dat één klacht over een advertentie onvoldoende is. Als Tweakers echter vele klachten van verschillende gedupeerden ontvangt, en die allemaal legitiem overkomen, dan zou zij wel gehouden kunnen zijn het IP-adres af te geven. Maar dan zou ik op zijn minst een stapeltje aangiften willen zien als Tweakers zijnde.

Arnoud