Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Niet kunnen betalen wegens iDeal-storing is het probleem van de winkelier

| AE 7993 | Ondernemingsvrijheid | 13 reacties

storingStel je koopt online een ticket voor een festival dat morgen begint, en iDeal heeft een storing. Wat moet je dan als consument? Nou, niet naar de andere kant van Nederland reizen om contant te betalen. Dat maak ik op uit een recent vonnis van de rechtbank Utrecht. En de ticketverkoper kan ook niet eisen dat je alsnog komt betalen.

Een man wilde graag naar het Lief Festival, dat de volgende dag, 1 september 2012, vanaf 12.00 uur plaats zou vinden. Om 19.11 had hij de bestelling er door, er moest alleen nog worden betaald en hij had iDeal gekozen want dan reken je direct af. Helaas lukte het tot vier keer toe niet om de transactie met succes af te ronden (“Een iDEAL-transactie is nog in behandeling, wacht op de automatische statusupdate”). Vervolgens een mail naar de helpdesk, maar geen directe reactie.

(Waarom niet een uurtje wachten, dan annuleren en opnieuw betalen? Nou, omdat volgens de voorwaarden er dan 75% annuleringskosten verschuldigd zouden zijn.)

Enige tijd later kreeg de man een sommatie: de prijs van die tickets was nog niet betaald, en het doet er niet toe dat het festival al geweest was. Volgens de voorwaarden moet er gewoon betaald worden als er niet volgens de voorwaarden is geannuleerd. Bovendien was bij het bedrijf niet bekend dat er een iDealstoring was, dus de betalingsmoeilijkheid was het probleem van de consument.

Ja, je voelt op je klompen aan dat dit een tikje schuurt, maar onderbouw het maar eens juridisch.

De rechter begint met vaststellen dat het op zich terecht is de tickets pas te leveren als er betaald is. Echter, dan moet je als bedrijf wel je betaalmethodes op orde hebben. Zeker als je zelf in de communicatie verwijst naar betalen met iDeal (“Zodra het volledige bedrag d.m.v. IDEAL”). Dan is het jouw probleem als dat betaalmiddel niet werkt.

Ook het geopperde idee “u had moeten bellen of langs moeten komen om te betalen” (vrijdagavond om 19:23 dus even naar Zaandam rijden) wordt snel afgeserveerd:

De stelling van T4U dat [gedaagde] telefonisch contact met haar had kunnen en moeten opnemen en/of had kunnen en moeten verschijnen aan haar kantooradres, maakt het voorgaande ook niet anders, al was het maar omdat [gedaagde] heeft aangevoerd dat hij wel geprobeerd heeft contact op te nemen, maar dat hij T4U niet kon bereiken en T4U daarop wel in het algemeen heeft gesteld dat zij altijd telefonisch bereikbaar is, maar niet heeft onderbouwd dat dit in dit specifieke geval ook zo was.

“Maakt dat niet anders” is rechtersjargon voor “dat hoef ik niet uit te leggen”. Alles bij elkaar zijn we dus snel klaar hiermee: als jij zegt dat mensen via IDeal moeten betalen, en dat lukt niet, dan heb je pech en kun je niet de ticketprijs alsnog opeisen.

Het vonnis eindigt met een typische kronkel die voor veel frustratie bij zzp’ers zorgt: de voor deze zaak gemaakte uren zijn geen schade, zodat meneer geen geld krijgt ondanks dat hij wint. Hij had weliswaar €100 per uur kunnen verdienen door die tijd voor klanten in te zetten, echter:

Zonder nadere toelichting, die ontbreekt, valt immers niet in te zien dat [gedaagde] de gestelde gemiste uren niet op een ander moment alsnog ten behoeve van zijn onderneming heeft benut, althans heeft kunnen benutten.

Meneer wint dus maar krijgt nul euro. En hij kon ook niet naar het Lief festival.

Arnoud

AliExpress heeft nu iDeal, vallen ze onder Nederlands recht?

| AE 7499 | Informatiemaatschappij | 21 reacties

aliexpressDe Chinese webwinkel AliExpress voegt ondersteuning toe voor de Nederlandse betaalmethode iDeal, meldde Tweakers onlangs. En een lezer vroeg me toen: vallen ze daarmee onder Nederlands recht? Er is al een Nederlandstalige site, met eigen subdomein en Nederlandse taal immers.

Er is geen hard criterium wanneer je onder welk recht valt. Bij zakendoen en e-commerce is de vraag eigenlijk “op welk land richt je je met je site”, en het antwoord is in feite een optelsom op gevoel. Hoe veel dingen zie je die generiek zijn (-1) en hoe veel dingen zie je die landspecifiek zijn (+1), en dan het totaal afronden naar wat je onderbuik zegt.

Bij AliExpress zie ik een Nederlandstalige site (+1) op een nl. subdomein (+1) waar je met IDeal mag betalen (+1), maar standaard de prijzen in dollars zijn (-1). Doorklikkend naar de help krijg ik meteen Engelse tekst (-1) maar wel met “We ship to NETHERLANDS” (+1) en daarna de optie de help Nederlands te krijgen (+1). Alleen is dat dan een machinevertaling (“Hoe werkt AliExpress bescherm ik mijn betalingen?”, -1). En dan zegt mijn onderbuik dat ik op +2 uitkom, oftewel deze site richt zich op Nederland en valt dus onder Nederlands recht.

Een interessante daarbij is nog dat AliExpress een marktplaats is en geen winkel. De vraag is dan eigenlijk of de winkeliers/aanbieders zelf ook onder Nederlands recht vallen. Mij lijkt dat hierbij hetzelfde criterium moet gelden als voor de marktplaats, omdat de aanbieders geen eigen winkeltjes met eigen opmaak hebben maar alleen hun productdata aanleveren en alle presentatie e.d. door AliExpress laten doen. Tegelijkertijd heb je als winkeltje weinig zicht op wát AliExpress dan doet aan opmaak en dergelijke. Dus dan val jij ineens onder Nederlands recht omdat je marktplaatsleverancier dat leuk vindt? Dat kan toch ook weer niet de bedoeling zijn?

Arnoud

Currence gaat misbruik via iDEAL aan banden leggen

| AE 7405 | Ondernemingsvrijheid | 11 reacties

Toezichthouder Currence gaat misbruik met het betalingssysteem iDeal onmogelijk maken door een nieuwe bepaling in de voorwaarden van het gebruik van het systeem op te nemen. las ik bij Nu.nl. De nieuwe bepaling verbiedt het gebruik van gegevens van een eenmalige betaling om een automatische incasso op te zetten. U weet wel, van al die… Lees verder