Mag PayPal weigeren je transacties te betalen als je tardigrades verkoopt?

Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van menig internetondernemer. Alleen een probleempje: betalingsdienstverlener PayPal laat geen betalingen toe voor wie deze ornamenten bestelt. Na klachten van het bedrijf kreeg men te horen dat de naam maar gewoon aangepast moet worden. Nu is mijn vuistregel dat wie “gewoon” gebruikt, eigenlijk te lui is om het probleem op te lossen, maar hier was meer aan de hand.

Het is al langer bekend dat PayPal bedrijfsnamen scant op bepaalde ongewenste termen, iets dat in het wereldje bekend staat als het Scunthorpe probleem – per abuis een woord weigeren omdat het een vies woord lijkt. (Bij ons zouden we dit het Sexbierum-probleem noemen, en ja ik ken kinderen die zich niet online mochten registreren bij bepaalde spelletjes omdat hun plaatsnaam vieze woorden bevatte.) Maar wat is er in vredesnaam mis met tardigrade? Zelfs in de diepste krochten van internet lijkt dit geen vies woord te zijn geweest, Rule 34 ten spijt.

Enig puzzelwerk op Twitter gaf een logischer verklaring:

there’s an arms dealer by the name of Tardigrade Ltd., so the OFAC banned all transactions containing the word Tardigrade, causing problems for anyone selling products related to this cute micro-organism
De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. En inderdaad staat het Cypriotische Tardigrade Limited op de sanctielijst, daar mag je geen zaken mee doen als Amerikaanse wetgeving jou raakt. Dus logisch dat PayPal dat blokkeert. Alleen dus iets grofmaziger dan je zou denken: niet enkel als afzender of ontvanger van het geld “Tardigrade Limited” heet, maar als ergens in enig veld van de transactie (zoals wat er besteld is) dat eerste woord voorkomt, dan mag het niet. We mogen kennelijk van geluk spreken dat ze “limited” niet apart als woord opgenomen hebben.

De reden dat PayPal zo agressief screent, is dat ze in 2015 een enorme boete (7.7 miljoen dollar) hebben gekregen voor het doorlaten van 486 overtredingen van deze sanctiewetgeving. Daar word je als bedrijf wat zenuwachtig van, en je ziet in het persbericht ook al meteen vergaande maatregelen om dit niet meer te laten gebeuren. Dat daardoor een enkele waterbeerverkoper niet meer kan handelen, ach. Die levert minder winst op dan die 7 miljoen boete, zal de gedachte zijn.

Ja, treurig. Maar ik zie ook het omgekeerde risico wel: A maakt naar B geld over met vermelding “ten behoeve van Tardigrade-wapentransactie”. Filter daar maar eens de vals positieven mee weg.

Arnoud

Nu mag je ook al niet meer doodgaan van de algemene voorwaarden

De internetbetaaldienst PayPal heeft een vrouw die onlangs is overleden een brief gestuurd met de mededeling dat haar overlijden in strijd was met de regels. Dat meldde Nu.nl op gezag van de BBC. “You are in breach of condition 15.4(c) of your agreement with PayPal Credit as we have received notice that you are deceased… this breach is not capable of remedy.” meldde de brief. Nadat de weduwnaar de BBC had ingelicht, heeft Paypal de brief ingetrokken onder het maken van excuses. Maar wat krijgen we nou?

Het is me niet helemaal duidelijk welk artikel 15.4 precies wordt bedoeld. De voorwaarden van Paypal Credit zijn anders gestructureerd, en er is nergens een 15.4(c) te vinden. Gezien de context van de brief (een letter of default) gaat het waarschijnlijk om artikel 12, waar voorwaarden in staan waaronder je als klant in verzuim (default) wordt geacht te zijn. Paypal mag dan je krediet ineens opeisen en je account sluiten.

Dit artikel noemt enkele situaties die voor mij vrij standaard zijn, zoals niet tijdig betalen of failliet gaan, maar ook het doen van misleidende verklaringen of niet voldoen aan je informatieplichten. Oké, dat is ergens nog wel te begrijpen, maar dat doodgaan staat er dus ook tussen:

Pass away or become incompetent;

Ik vermoed dat de achterliggende gedachte is dat je iemands kredietovereenkomst op moet kunnen zeggen als die iemand overleden is, er is dan immers geen wederpartij meer. Het is dan ook logisch dat je al het geld terug wilt eisen.

De specifieke uitwerking in dit artikel 12 is een beetje een vieze hack, een soort operator overloading eigenlijk. Artikel 12 regelt wanneer jij iets doet dat niet mag, op grond waarvan Paypal dan mag opzeggen. Dat artikel wordt nu gebruikt om ook de situatie na overlijden te regelen, want de uitkomst is hetzelfde. Maar als side effect gaat er dan een ingebrekestelling uit met als grondslag dat je overleden bent, en dat is natuurlijk weer niet de bedoeling.

Daar is vrij zeker gewoon niet over nagedacht, ook niet toen iemand het sjabloon voor die brief samenstelde en “Pass away” las en daar “you are deceased” van maakte. Het zou me niets verbazen als die zinnen door iemand anders zijn gemaakt dan de persoon die het sjabloon maakte.

De uitkomst (en die brief dus) is complete onzin, maar hoe het kon gebeuren is volkomen logisch.

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Twitch-pestkop krijgt 50.000 dollar niet terug van streamers

patent-trolEen achttienjarige internettrol op livestreamsite Twitch zal zijn gedoneerde 50.000 dollar (omgerekend zo’n 44.000 euro) niet terugkrijgen van streamers, nadat hij ze probeerde voor de gek te houden. Dat meldde Nu.nl onlangs. De grapjas doneerde mensen enkele honderden dollars (omgerekend enkele honderden euro’s) via Paypal, en annuleerde de transactie na dertig dagen zodat het geld werd teruggehaald. Wat nogal pijnlijk is als de ontvanger het in alle vrolijkheid had uitgegeven in de tussentijd. Oké, hilarisch. Maar mag het?

Een grap strafrechtelijk duiden valt nog niet mee. Natuurlijk, er zijn zaken zoals oplichting en identiteitsfraude maar die veronderstellen allemaal dat je zelf enig geldelijk gewin wilt halen uit je actie. Zo luidt de wettelijke definitie van oplichting:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je moet dus jezelf of een ander willen bevoordelen. En daar gaat het al mis: welk (zakelijk) voordeel haal je uit deze grap? Je wilt de ander benádelen, door hem ongewild 250 dollar te laten uitgeven onder het voorwendsel dat hij die van jou gedoneerd kreeg.

Valsheid in geschrifte? Je zegt immers, hier is geld, en daarna is hier geen geld. Maar nee, het geschrift is echt, je zegt echt, hier is geld. En het geld komt er ook. Dat je het daarna weer weghaalt, maakt de mededeling niet ‘vals’. Hij is incompleet maar dat is nog niet hetzelfde als vals.

Ik kan zo ook geen ander wetsartikel bedenken dat dit strafbaar stelt. Natuurlijk kunnen benadeelden wel een civiele claim bij hem indienen, een schenking die geen schenking blijkt, lijkt me onrechtmatig en dus tot schadevergoeding verplichtend. Maar goed, ga je voor 250 dollar iemand aanklagen?

Paypal had een simpeler oplossing: die weigerde de transacties terug te rollen (haha, payrollen), waardoor de ouders van de jongeman ineens elfduizend dollar armer waren. Want donaties blijken uitgezonderd van het refund-beleid. Zo winnen de kleine lettertjes dan uiteindelijk.

Arnoud

Phishing-bestrijders krijgen donaties van phishers

Wat doe je als je als oplichter last hebt van een groep mensen die jou probeert te laten stoppen? Die geef je een deel van je inkomsten.

Via Slashdot vond ik een blogpost in de Washington Post over een groep phishers die de vrijwilligers-groep Castlecops het leven zuur maakt. De truc: doneer een deel van je gestolen geld aan Castlecops, zodat zij er op worden aangekeken als de transactie wordt getraceerd.

The unauthorized contributions all came in via PayPal, the online payment service owned by eBay. Some were sent via PayPal accounts that attackers had hijacked in phishing scams; others were submitted through PayPal’s e-check option using compromised checking account numbers. A few donations were for as little as $1, while other fake donations ranged as high as $2,800.

To the victims of the stolen PayPal accounts, it looks as if CastleCops is the one stealing their money, when in reality, it’s the attackers. Also, the fraudulent activity seeks to ruin their relationship with PayPal.

Via Security.NL nog de reactie van Gunter Ollmann, directeur Security Strategy bij IBM:

“Ik geloof dat het resultaat van deze acties is dat buitenstaanders CastleCops als belangrijk zien, en dat er meer werk verricht moet worden om het internet een veiligere plek te maken.” Ollmann sluit zelfs niet uit dat als de mensen wiens creditcard misbruikt is zien waar de website voor staat, ze juist besluiten om te doneren.

Arnoud