Nu mag je ook al niet meer doodgaan van de algemene voorwaarden

| AE 10711 | Informatiemaatschappij | 5 reacties

De internetbetaaldienst PayPal heeft een vrouw die onlangs is overleden een brief gestuurd met de mededeling dat haar overlijden in strijd was met de regels. Dat meldde Nu.nl op gezag van de BBC. “You are in breach of condition 15.4(c) of your agreement with PayPal Credit as we have received notice that you are deceased… this breach is not capable of remedy.” meldde de brief. Nadat de weduwnaar de BBC had ingelicht, heeft Paypal de brief ingetrokken onder het maken van excuses. Maar wat krijgen we nou?

Het is me niet helemaal duidelijk welk artikel 15.4 precies wordt bedoeld. De voorwaarden van Paypal Credit zijn anders gestructureerd, en er is nergens een 15.4(c) te vinden. Gezien de context van de brief (een letter of default) gaat het waarschijnlijk om artikel 12, waar voorwaarden in staan waaronder je als klant in verzuim (default) wordt geacht te zijn. Paypal mag dan je krediet ineens opeisen en je account sluiten.

Dit artikel noemt enkele situaties die voor mij vrij standaard zijn, zoals niet tijdig betalen of failliet gaan, maar ook het doen van misleidende verklaringen of niet voldoen aan je informatieplichten. Oké, dat is ergens nog wel te begrijpen, maar dat doodgaan staat er dus ook tussen:

Pass away or become incompetent;

Ik vermoed dat de achterliggende gedachte is dat je iemands kredietovereenkomst op moet kunnen zeggen als die iemand overleden is, er is dan immers geen wederpartij meer. Het is dan ook logisch dat je al het geld terug wilt eisen.

De specifieke uitwerking in dit artikel 12 is een beetje een vieze hack, een soort operator overloading eigenlijk. Artikel 12 regelt wanneer jij iets doet dat niet mag, op grond waarvan Paypal dan mag opzeggen. Dat artikel wordt nu gebruikt om ook de situatie na overlijden te regelen, want de uitkomst is hetzelfde. Maar als side effect gaat er dan een ingebrekestelling uit met als grondslag dat je overleden bent, en dat is natuurlijk weer niet de bedoeling.

Daar is vrij zeker gewoon niet over nagedacht, ook niet toen iemand het sjabloon voor die brief samenstelde en “Pass away” las en daar “you are deceased” van maakte. Het zou me niets verbazen als die zinnen door iemand anders zijn gemaakt dan de persoon die het sjabloon maakte.

De uitkomst (en die brief dus) is complete onzin, maar hoe het kon gebeuren is volkomen logisch.

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Twitch-pestkop krijgt 50.000 dollar niet terug van streamers

| AE 8712 | Ondernemingsvrijheid, Regulering | 20 reacties

patent-trolEen achttienjarige internettrol op livestreamsite Twitch zal zijn gedoneerde 50.000 dollar (omgerekend zo’n 44.000 euro) niet terugkrijgen van streamers, nadat hij ze probeerde voor de gek te houden. Dat meldde Nu.nl onlangs. De grapjas doneerde mensen enkele honderden dollars (omgerekend enkele honderden euro’s) via Paypal, en annuleerde de transactie na dertig dagen zodat het geld werd teruggehaald. Wat nogal pijnlijk is als de ontvanger het in alle vrolijkheid had uitgegeven in de tussentijd. Oké, hilarisch. Maar mag het?

Een grap strafrechtelijk duiden valt nog niet mee. Natuurlijk, er zijn zaken zoals oplichting en identiteitsfraude maar die veronderstellen allemaal dat je zelf enig geldelijk gewin wilt halen uit je actie. Zo luidt de wettelijke definitie van oplichting:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je moet dus jezelf of een ander willen bevoordelen. En daar gaat het al mis: welk (zakelijk) voordeel haal je uit deze grap? Je wilt de ander benádelen, door hem ongewild 250 dollar te laten uitgeven onder het voorwendsel dat hij die van jou gedoneerd kreeg.

Valsheid in geschrifte? Je zegt immers, hier is geld, en daarna is hier geen geld. Maar nee, het geschrift is echt, je zegt echt, hier is geld. En het geld komt er ook. Dat je het daarna weer weghaalt, maakt de mededeling niet ‘vals’. Hij is incompleet maar dat is nog niet hetzelfde als vals.

Ik kan zo ook geen ander wetsartikel bedenken dat dit strafbaar stelt. Natuurlijk kunnen benadeelden wel een civiele claim bij hem indienen, een schenking die geen schenking blijkt, lijkt me onrechtmatig en dus tot schadevergoeding verplichtend. Maar goed, ga je voor 250 dollar iemand aanklagen?

Paypal had een simpeler oplossing: die weigerde de transacties terug te rollen (haha, payrollen), waardoor de ouders van de jongeman ineens elfduizend dollar armer waren. Want donaties blijken uitgezonderd van het refund-beleid. Zo winnen de kleine lettertjes dan uiteindelijk.

Arnoud