Virtuele goederen én belminuten kun je stelen

| AE 2886 | Security | 50 reacties

second-life-mobiele-telefoon-diefstal.jpgVirtuele goederen, zoals de meubi’s bij Habbo en de amuletten in Runescape, kun je stelen. Dat wisten we al een tijdje maar de Hoge Raad geeft er nu definitief haar zegen aan. En op dezelfde dag bepaalt ze ook dat je belminuten en sms’jes kunt stelen. En dát was voor mij in ieder geval nieuws.

Om van diefstal te kunnen spreken, moet er een “goed” zijn, oftewel een voor menselijke beheersing vatbaar tastbaar iets dat kan worden weggenomen. Elektriciteit valt onder die definitie (prima te hanteren met rubber handschoenen immers), maar computergegevens niet (kopiëren is geen stelen, hoi Tim).

Op het eerste gezicht leek het dan ook gek dat bij een Habbo-zaak diefstal met geweld, oftewel beroving, ten laste werd gelegd. Twee jongens hadden een ander met een mes gedwongen zijn meubi’s af te geven in het spel namelijk. Maar zijn die meubi’s wel te stelen? Het zijn toch computergegevens in de servers van Habbo? Idem voor een Runescape-zaak met ongeveer dezelfde omstandigheden.

Ja, die dingen kun je stelen, aldus de rechtbank in beide zaken. Zulke virtuele goederen zijn gemáákt om te worden verplaatst en weggegeven. Daarmee zit de mogelijkheid van stelen (wegnemen) er in gebouwd. Even IT-technisch: wanneer een systeem alleen de atomaire actie “verplaatsen” kent en niet “kopiëren” dan is het diefstal de verplaatsbare objecten te verplaatsen zonder toestemming van hun eigenaar.

Voor virtuele goederen kan ik dat nog wel volgen, maar in een ander arrest bepaalde de Hoge Raad hetzelfde voor belminuten en sms’jes. In die zaak had een man een simkaart van een bedrijf weten te verkrijgen en was hij daarmee gaan bellen, wat opviel toen de rekening van ” 2.645,39 binnenkwam. Hij werd vervolgd, en wel voor diefstal – nee, niet van de sim maar van de belminuten en de 100 euro aan sms’jes.

Volgens het gerechtshof was er inderdaad sprake van diefstal, omdat belminuten en sms’jes gewoon ‘goederen’ zijn die je kunt wegnemen. Immers, wie ze gebruikt, maakt ze op, en ze vertegenwoordigen nog waarde ook. En “gelet op de functie die belminuten en sms-berichten in het maatschappelijke verkeer vertegenwoordigen” moeten we ze dus gewoon als goederen zien. De Hoge Raad is het daarmee eens, want

Ook een niet-stoffelijk object kan [onder ‘steelbaar goed’] worden begrepen, mits het gaat om een object dat naar zijn aard geschikt is om aan de feitelijke heerschappij van een ander te worden onttrokken.

En tsja, de mogelijkheid een sms-bericht te versturen (want daar komt het op neer) voldoet aan die definitie. Dat object, die teller in de databank bij de telecomprovider, ben je kwijt als het aangepast wordt in die databank. Sjonge.

Mijn oude prof aan de TU Eindhoven zei ooit “het verschil tussen hardware en software is dat hardware pijn doet als het op je voet valt”. Dat vond ik altijd wel een mooi criterium, ook voor de vraag of iets te stelen is. Maar juridisch gezien klopt dat niet meer; ook niet-tastbare zaken zijn dus prima te stelen als hun functie is dat ze kunnen worden verbruikt of verplaatst. Dataverkeer zal er zeker onder vallen nu, en credits in een spel ook.

Wie weet er nog meer dingen die volgens dit criterium kunnen worden gestolen?

Update (18 april): de Hoge Raad bepaalde vandaag dat ook credits gestolen (verduisterd) kunnen worden. Die credits konden worden gekocht via een telefoon en daarna doorgezet naar andere diensten.

Arnoud

Moet je controleren of iemand minderjarig is?

| AE 1928 | Informatiemaatschappij, Ondernemingsvrijheid, Privacy | 6 reacties

minderjarigEen lezer vroeg me:

Naar aanleiding van de discussie over minderjarige forumleden vroeg ik me af: hoe kun je als forumbeheerder controleren hoe oud een lid is? Je kunt toch moeilijk zeggen: “Registreren is gratis,maar we willen wel even een kopie van je paspoort!” En wat gebeurt er als ik het niet controleer en de ouders erachter komen?

Je hebt gelijk, dat is bijna niet te controleren. In de praktijk gaat het meestal goed, omdat je er niets van merkt dat iemand minderjarig is. Een 14-jarige kan ook prima discussiëren op een forum of meedoen aan een spel. Als de ouders erachter komen, dan kunnen ze eisen dat zijn account wordt verwijderd, en dat moet je dan doen als beheerder.

Pas als er dingen betaald moeten worden (abonnementen, diensten etc) wordt het echt relevant hoe oud iemand is. Want als iemand nog geen 18 is, moeten zijn ouders toestemming geven voor die transactie, tenzij het volstrekt normaal is dat iemand van die leeftijd die transactie aangaat.

Een 14-jarige die Habbo-meubi, mobiel beltegoed of Runescape-punten koopt, kan dat doen zonder toestemming want dat is volstrekt normaal vandaag de dag. Maar als hij acht jaar is, denk ik dat de ouders het wel terug kunnen draaien. Al was het maar omdat Habbo zelf verbiedt dat je meedoet onder de 12 jaar zonder toestemming. Een webhostingabonnement bij een 14-jarige vind ik een twijfelgeval.

Een ander punt is publicatie van persoonsgegevens. Die 14-jarige kan dingen over zichzelf publiceren die de ouders niet online willen hebben. De ouders kunnen te allen tijde eisen dat die informatie eraf gaat, en kunnen vaak zelfs de site aansprakelijk stellen omdat het erop stond. Dit volgt uit de Wet Bescherming Persoonsgegevens, die hier erg ongenuanceerd streng over is.

Arnoud

Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

| AE 1540 | Informatiemaatschappij, Security | 23 reacties

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

In een virtuele wereld kun je ook stelen

| AE 1274 | Informatiemaatschappij, Security | 39 reacties

Een amulet in een virtuele wereld blijkt een zaak die je kunt stelen, zo vonniste de rechtbank Leeuwarden eergisteren. Twee jongens wisten september vorig jaar van hun slachtoffer enkele virtuele goederen in de online roleplaying game Runescape af te pakken. (Dit is dus niét de Habbo-zaak waarover ik in november vorig jaar berichtte) Het slachtoffer… Lees verder

Forumlid worden als minderjarige vereist toestemming ouders

| AE 615 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 4 reacties

“Ik stem toe met de voorwaarden en ben ouder dan 13 jaar.” Wie zich op een Nederlandstalig forum registreert dat phpBB gebruikt, moet op deze zin klikken om de registratie te voltooien. Die zin is rechtstreeks afkomstig uit de Amerikaanse versie, waar de Children’s Online Privacy Protection Act eist dat forumbeheerders uitdrukkelijke toestemming van de… Lees verder

Eerste aanhouding wegens virtuele diefstal

| AE 628 | Informatiemaatschappij, Security | 4 reacties

De politie heeft voor het eerst in Nederland iemand opgepakt wegens virtuele diefstal, meldt Planet. Het gaat om de meubi’s (meubels) uit de virtuele wereld voor tieners Habbo Hotel. Spelers lopen als virtueel personage rond, en kunnen hun eigen kamers in dat Habbo Hotel inrichten met speciale credits. Die credits zijn de inkomstenbron van Habbo:… Lees verder

Diefstal van game-credits – kun je daar eigenaar van zijn?

| AE 438 | Informatiemaatschappij, Innovatie | Er zijn nog geen reacties

‘Een principieel verschil met het pikken van andermans knikkers is er niet.’ Planet – Arjan Dasselaar maakt zich boos over de sensatiezoekende berichtgeving over de pogingen om de Runescape-credits in te pikken. Sinds wanneer komt het NOS Journaal opdraven op het moment dat een leerling van een middelbare school een paar tikken krijgt? Nou, sinds… Lees verder