Zijn telecomproviders aansprakelijk voor gespoofte telefoonnummers?

| AE 12139 | Ondernemingsvrijheid | 51 reacties

Een lezer vroeg me:

Regelmatig wordt bericht over SMSjes of telefoongesprekken afkomstig van criminelen die gebruik maken van gespoofte telefoonnummers en zo hun geloofwaardigheid te vergroten. Denk aan nummers van banken of de overheid. Zijn telecombedrijven aansprakelijk wanneer zij dergelijke vormen van spoofing toestaan, en maakt het dan nog uit hoe actief zij daarop toezien?
Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. In februari werd bijvoorbeeld bericht dat de politie samen met de Nederlandse grootbanken een onderzoek is gestart naar het spoofen van telefoonnummers van banken door oplichters. Ik heb nog geen resultaten gelezen, maar het laat de urgentie van het probleem zien. Wanneer een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk.

Het doet raar aan dat een beller andermans telefoonnummer kan meesturen. Deze situatie bestaat echter al heel lang. Er zijn namelijk legale toepassingen, zoals wanneer een bedrijf bij alle uitgaande telefoontjes het centrale nummer meestuurt. Dan komen terugbellende klanten niet bij een specifieke medewerker terecht maar altijd bij de telefoniste.

Raar is wel dat daarbij in de praktijk geen enkele beperking wordt gehanteerd, zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Aansprakelijk voor problemen als gevolg van zo’n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder “informatie” valt ook metadata zoals het nummer van de afzender/beller.

Ik begrijp dat de ACM (de toezichthouder in deze sector) al sinds 2018 bezig is met telecomproviders samen te werken hier wat aan te doen. Ik kan geen specifieke wettelijke regels of beleidsregels vinden waar dit onder zou vallen. Het lijkt mij een vrij eenvoudige regel om in te voeren, en gezien de opkomst van deze fraude ook geen gek idee. Of mis ik een reële case waarom mensen arbitraire nummers moeten kunnen meesturen met uitgaande telefoongesprekken?

Arnoud

Wat gaan we in het mededingingsrecht doen met de internetplatforms?

| AE 11662 | Regulering | 7 reacties

De laatste maanden zeker, maar misschien al de laatste paar jaar proef ik steeds meer politieke wil om de grote internetplatforms te reguleren. Die zijn te groot, te eigenzinnig en te onbereikbaar voor ‘gewone’ juridische maatregelen. Dat verrast wel een beetje na vele jaren waarin die platforms alles mochten zonder enige begrenzing, maar misschien gaat zoiets met grote golfbewegingen. Het instrument dat dan nu aan komt golven is het mededingingsrecht: het recht dat de markt beschermt tegen misbruik en machtsposities. Al te grote bedrijven kunnen worden opgesplitst, partijen die hun macht (dominante positie) misbruiken kunnen daar grof voor worden beboet of anders gestraft, en ga zo maar door. Maar wat doen we met die platforms?

Het grote probleem is volgens mij dat platforms niet echt voldoen aan de klassieke definitie van een monopolist of almachtige partij. Het gaat in het mededingingsrecht niet om monopolies maar om dominante posities in de markt namelijk, je kunt dus prima worden aangesproken terwijl er toch echt concurrenten zijn. Dat is niet nieuw door internet, al meer dan 100 jaar kennen we bedrijven die machtig zijn en daar graag misbruik van maken door bijvoorbeeld prijzen op te drijven, mensen dwingen ongerelateerde andere producten of diensten af te nemen of door de concurrent van de markt te pesten.

Nieuw is volgens mij wel de schaal waarop dit gebeurt. Ik ken geen enkel historisch voorbeeld dat zo groot en invloedrijk was als Facebook, Google en consorten. En tegelijkertijd doet zich hier de rare situatie voor dat die bedrijven eigenlijk een stuk makkelijker te mijden zijn dan de klassieke monopolisten. Een andere zoekmachine is maar één klik verwijderd, een stuk makkelijker dan dat je naar een ander dorp moet voor een alternatieve supermarkt, om eens wat te noemen.

Dat komt door het netwerkeffect, heet het dan. Een partij als Facebook is zo waardevol omdat iedereen er zit. Je kunt wel weg, maar je klanten of leveranciers zitten er nog dus daarom wil je niet weg. En niemand wil weg, om die reden. Dus gaat niemand weg, en dus kan Facebook alles maken. Dat is wel echt iets nieuws. Maar er zit meer achter.

Een van de lastige discussies hierbij blijf ik vinden wat “de markt” nu precies is. Neem Apple. We vinden dat die best wel agressief is in bijvoorbeeld de iTunes Store: 30% van je omzet inleveren aan iemand die “alleen maar” de appstore heeft? Is dat nu iets waar het mededingingsrecht wat van moet vinden? Misschien, als Apple de smartphonebesturingssysteemmarkt in handen heeft. Maar algemeen bekend is dat Android op veel meer telefoons staat dan Apple, dus kennelijk is Apple een kleine. Of moet je kijken naar de high end smartphones, zeg maar de Iphone en misschien een dikke Samsung? Dan is Apple natuurlijk mega-machtig in die niche, maar is dat wel een terechte definitie van de markt?

Ook de ‘echte’ platforms zijn nogal verschillend. Ik las deze analyse over de verschillende types platforms en de juridische duiding van hun positie. Hierin de interessante stelling dat platforms zoals Apple eigenlijk heel welkom zijn, omdat ze nieuwe markten creëren en daarmee echt waarde toevoegen.

Thompson says that platforms are important to society: “they create the possibility for products that never existed previously, and are the foundation for huge amounts of innovation” so there should “be more and larger platforms, not fewer and smaller.” But platforms can be abusive, so “regulators should simultaneously encourage the formation of new platforms while ensuring those platforms do not abuse their position.”

De regels zouden vooral moeten voorkomen dat platforms hun eigen producten voorrang geven of zonder enige reden extra geld gaan vragen. Maar de aandacht van regulators zou vooral uit moeten gaan naar een ander soort platforms: de aggregators, die bestaande content of diensten bundelen om zo hun bezoekers een “extra gebruikservaring” te bieden. Deze partijen zijn vooral bezig met de gebruikers bij elkaar houden en die dienstverleners te dwingen tot speciale privileges. Dat is veel ernstiger, is dan het idee.

But for Thompson, aggregators are much more suspect because “the incentives are warped from the beginning” — they incentivize third parties to make themselves attractive to the aggregator, not users (think of search-engine optimization).

Dit onderscheid had ik nog niet eerder gezien. Ik zie er wel wat in, hoewel ik ook genoeg aggegrators ken die wat mij betreft wél waarde toevoegen.

Welke uitwas van de grote internetbedrijven moet wat jullie betreft mededingingsrechtelijk worden aangepakt?

Arnoud

Goh, Nederland heeft knappe inzichten over soevereiniteit in cyberspace

| AE 11551 | Regulering | 8 reacties

De brief van minister Blok aan de Tweede Kamer over soevereiniteit in cyberspace is een tour de force op juridisch gebied. Dat hoor je ook niet vaak van Kamerstukken, dus daar gaan we eens goed voor zitten. De brief werd van de zomer verstuurd en onlangs publiek gemaakt. Het doet me goed te zien dat het concept cyberspace als zodanig kennelijk juridisch erkend wordt, maar je maakt dingen wel een stuk ingewikkelder op die manier. De uitkomsten zijn overigens zeker wel verrassend en vernieuwend.

Het grootste probleem met cybervraagstukken is dat het de nationale soevereiniteit doorbreekt. Als een botnet met Europese slachtoffercomputers wordt gecommandeerd door een Braziliaan via een vpn een command&controlserver in Korea om een Nederlandse bank plat te leggen, welke actie neem je dan als Nederlandse politie? In hoeverre zou bijvoorbeeld de soevereiniteit van Korea worden aangetast als je die server terughackt en uitzet? Of die van Brazilië omdat ze die dader daar wilden aanpakken? (Dit is belangrijk omdat uit internationaal recht volgt dat je andermans soevereiniteit niet schendt; je komt dan richting de oorlogsdaden.)

Wanneer doorkruist een cyberactie nu de soevereiniteit? Het antwoord zou volgens Nederland liggen in het effect in het land waar dit gebeurt. Hoe ernstiger dat effect, hoe meer je aan iemands soevereiniteit knabbelt. Effecten die gelijk zijn aan ingrijpen met fysiek geweld zijn het extreemste voorbeeld: dat is eigenlijk gewoon keihard verboden. Het lamleggen van die Nederlandse bank is dus een schending van internationaal recht als dat door een staat zou gebeuren, bijvoorbeeld.

Minstens zo interessant is het zorgvuldigheidsbeginsel: dat je rekening houdt met andere landen wanneer je als soevereine staat handelt. Je opereert weliswaar soeverein maar niet volledig in isolatie, immers. Dat beginsel werkt een-op-een ook in de cyberwereld:

In de cybercontext betekent het zorgvuldigheidsbeginsel dat staten moeten optreden tegen: (1) cyberactiviteiten die worden uitgevoerd door personen op hun grondgebied of waarbij gebruik wordt gemaakt van zaken of netwerken op hun grondgebied of waar zij anderszins controle over hebben; (2) die inbreuk maken op een recht van een andere staat; en (3) waarvan zij op de hoogte zijn of zouden moeten zijn.

Brazilië of Korea zou dus moeten ingrijpen als die Nederlandse bank wordt platgelegd. En niet “dat zou leuk zijn” maar “dat moeten ze van het internationaal recht”. Wel moet het dan gaan om een ernstige inbreuk op de rechten van in dit geval Nederland. Eén enkele phishmail uit Nigera schept dus nog niet meteen zo’n verplichting.

Wat nu als zo’n land daar niet meteen gehoor aan geeft? Want dan komen we bij waar het echt om draait, zou de Nederlandse politie dan die C&C server plat mogen leggen op afstand, of die Braziliaan mogen spearphishen om de login te pakken te krijgen? Die zorgvuldigheidseis is een soort van opstapje daarheen. Als een land – zeg Brazilië – te kort zou schieten daarin, en Nederland ondervindt vervolgens ernstige schade, dan mag Nederland doorpakken en zelf maatregelen nemen. Terughacken dus.

Niet dat terughacken nu automatisch de meest logische actie is. Je moet altijd eerst kijken of er legale alternatieven zijn, zoals Brazilië blokkeren op de AMS-IX, diplomaten uitzetten of een andere handeling die ook wel pijn doet maar duidelijk binnen je eigen rechten valt. Pas als dat niet lukt, dan kun je opschalen naar internationale actie – die dan wel tijdelijk en voor compensatie vatbaar moet zijn.

(Als goed jurist moet ik nu openen door te zeggen dat Nederland een lange traditie heeft met dit soort inzichten: Hugo de Groot formuleerde in 1609 zeer gezaghebbende principes over het recht op de internationale zeeën. Kort gezegd, iedereen heeft daar dezelfde (namelijk geen) exclusieve rechten, omdat geen land dit in eigendom kan hebben. Bij deze.)

Arnoud
PS: vergeet je ticket voor the Future is Legal op 15 november niet, ze gaan hard!