Tag: Pin

About Pin

Subscribe Feeds

Wie is verantwoordelijk voor je logincodes?

Geplaatst op in Ondernemingsvrijheid, Security, 3 reacties

bizner-bizkey.pngInternetbank Bizner stopt ermee, maar op de valreep leveren ze nog een leuk vonnis over de aansprakelijkheid van een bedrijf voor misbruik van de inlogcodes rond internetbankieren.

Bizner had een bedrijf voor een kleine 40.000 euro aangeklaagd. Er waren leningen aangevraagd vanuit het bedrijf via de internetbankierapplicatie van Bizner. Voor een deel werd dit erkend, maar voor één lening van ” 10.000,- stelde het bedrijf dat dit zonder toestemming aangevraagd was door een werknemer met wie ze in een conflict lagen.

De werknemer had toegang tot de BizKey, het apparaatje waarmee je inlogt op de internetbankierapplicatie. Volgens de directeur was hij echter niet geautoriseerd de lening te sluiten zonder overleg. In de voorwaarden van Bizner stond niet expliciet wat er in zo’n situatie zou moeten gebeuren. De rechtbank valt dan ook terug op de algemene rechtsregel of het te verwijten is aan het bedrijf dat deze medewerker de BizKey kon gebruiken:

Indien dit misbruik te wijten is aan gebrek aan zorg van [gedaagde], dan wordt dat in beginsel aan hem toegerekend, tenzij [gedaagde] omstandigheden stelt en bewijst die een zodanig gebrek aan zorg uitsluiten.

In dit geval bleek de werknemer in te wonen bij de directeur. De betaalrekening van Bizner werd door hen gezamenlijk op een vaste computer beheerd, waarbij de werknemer ook de beschikking had over de BizKey en daarbij behorende codes. Waarom de directeur dit toestond, wordt niet duidelijk uit het vonnis. Je gaat je dan wel achter je oren krabben als je leest dat de directeur wist dat deze werknemer een fraudeverleden had.

De rechtbank oordeelt dan ook dat het bedrijf aan te spreken is op de lening, en dat deze dus gewoon moet worden terugbetaald.

Door [persoon1] niet te betrekken in de rechtsverhoudingen met Bizner en hem daarentegen wel in de gelegenheid te stellen te beschikken over en gebruik te laten maken van de BizKey en de codes, heeft [gedaagde] het risico genomen dat jegens Bizner misbruik van zijn identiteit kon worden gemaakt en kan hem dat worden toegerekend.

Wel had men nog betwist dat Bizner een vertragingsrente in rekening mocht brengen. Deze claim was op de algemene voorwaarden gebaseerd (en was dus hoger dan de wettelijke rente). Volgens het bedrijf waren de algemene voorwaarden niet van toepassing, maar daar gaat de rechter niet in mee.

Namens Bizner is immers op de comparitie onweersproken verklaard dat het onmogelijk is om via internet een aanvraag van haar producten te voltooien zonder het aanvaarden van de algemene voorwaarden.

Helaas werd niet nader ingegaan op de vraag of die voorwaarden wel correct werden aangeboden, iets dat verbazingwekkend vaak fout gaat bij grote bedrijven. Maar ja, wie bewaart er screenshots van het algemenevoorwaardenscherm?

Dat het de werknemer was die hier de voorwaarden aanvaardde, maakt niet uit. Het bedrijf is vanwege het wanbeheer van de Bizkey en code aansprakelijk voor de gevolgen, en is dus gebonden aan die algemene voorwaarden. Bizner mag dus het bedrijf houden aan het artikel over de vertragingsrente.

Arnoud

Skimmen toch strafbaar!

Geplaatst op in Security, 9 reacties

skimmen-diefstal-fraude-oplichting-foto-paul-wiegmans.jpgJa, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Update (7 december 2011) in een andere zaak wordt voor onder meer skimmen én het ook echt namaken van de passen, alsmede oplichting, een straf van negenendertig maanden cel opgelegd.

Arnoud<br/> Foto: Paul Wiegmans.

Bankoverval opgelost dankzij pinbetaling

Geplaatst op in Iusmentis, Security, nog geen reacties

Een opmerkelijk stukje ICT-recht. In december 2005 werd een bank in Oosterhout overvallen. Nee, geen computercriminaliteit maar op de ouderwetse manier. Alleen verloor een van de overvallers zijn portemonnee, met daarin zijn rijbewijs, bankpasjes en identiteitsbewijs. Nee, ik verzin het niet. Hij was dan ook snel opgespoord. Hij had ook snel een excuus: die portemonnee was hij verloren, en wellicht had de echte overvaller deze gevonden en (al of niet opzettelijk) bij de overval achtergelaten.

Het Gerechtshof was daar snel klaar mee: “de suggestie dient als volstrekt onwaarschijnlijk van de hand te worden gewezen.” En hier komt het ICT-aspect van de zaak: met die bankpasjes was de recherche bij de bank langsgeweest met een bevel (art. 126nd Strafvordering) tot inzage in de bankrekening die bij dat pasje hoorde.

Uit het vervolgens door de [bank] verstrekte rekeningoverzicht blijkt dat door verdachte op 20 december 2005 bij de bouwmarkt Karwei te ‘s-Hertogenbosch een pinbetaling was verricht (p. 33) ten behoeve van – zo bleek na onderzoek – de aanschaf van tie-rips; uit nader onderzoek bleek vervolgens dat die door de verdachte aangeschafte tie-rips in kleur en afmetingen overeenkomst vertoonden met de tie-rips die bij de overval waren gebruikt om de bankmedewerkers mee te knevelen.

De verdachte kreeg drie jaar cel. De portemonnee met inhoud kreeg hij trouwens wel netjes terug.

Arnoud