Hoe zwaar weegt gezichtsherkenning in het strafrecht?

| AE 12571 | Regulering | 17 reacties

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat Thomas veel overeenkomsten en geen significante verschillen vertoont met de persoon die om half drie ’s nachts pint. Hebbes, zegt de statistiek. Nope, zegt de rechtbank Den Bosch.

De strafzaak (vonnis) gaat over een hele trits feiten, niet alleen een keer pinnen met andermans pinpas, maar ook witwassen en lidmaatschap van een criminele organisatie. De rechtszaak is namelijk onderdeel van een groter onderzoek naar een bende die bankrekeningen plundert. En kennelijk is ‘Thomas’ (de naam is nep) de leider van dat netwerk want hij heeft statistisch gezien gepind met een gestolen pas?

Herkennen van mensen van foto’s is natuurlijk altijd lastig. Maar hier werd niet door menselijke getuigen of rechercheurs gekeken; het gaat om een automatisch gezichtsherkenningssysteem dat CATCH heet. De cijfers zijn schokkend: jaarlijks gaan zo’n duizend foto’s van verdachten door de database met 1.3 miljoen mensen. En dat levert dan 98 keer een match op. Nee, niet 980 of 98%, acht-en-negentig. Net geen honderd. Ja, ik val ook van mijn stoel.

Waarschijnlijk komt dat lage aantal omdat de meeste beveiligingscamera’s de kwaliteit van een aardappel hebben, als ik de beelden van Opsporing Verzocht mag geloven. Plus, veel criminelen weten natuurlijk dat ze hun gezicht moeten bedekken om niet te makkelijk herkend te worden. En men zal vast ook alleen een match willen geven als het systeem het heel zeker weet.

Maar hoe zeker is zeker? Dat weten we niet, en dat is ook fundamenteel lastig. Al is het maar vanwege de vraag of de werkelijke dader wel in het systeem zit. Anders krijg je gewoon “de best matchende persoon is deze” en als dat ook een hoog percentage betrouwbaarheid geeft, dan is de conclusie “dit is hem” snel gelegd. Natuurlijk kijken er dan nog mensen naar, maar “even checken, dit is hem toch” is heel wat anders dan “hier zijn duizend gezichten, welke is het”.

De rechtbank is er dan ook héél snel klaar mee:

De rechtbank is van oordeel dat in dit geval de ‘hit’ op verdachte in het zgn. CATCH-systeem (Centrale Automatische Technologie voor herkenning) onvoldoende is om te concluderen dat verdachte – buiten redelijke twijfel – als pinner kan worden aangemerkt. De opmerking dat twee onderzoekers zagen dat er veel overeenkomsten waren en geen significante afwijkingen, acht de rechtbank niet zodanig overtuigend dat de ‘hit’ als basis voor een bewezenverklaring kan dienen. Nu er buiten de herkenning geen andere bewijsmiddelen voorhanden zijn die verdachte verbinden aan een van de ten laste gelegde feiten, is de rechtbank van oordeel dat verdachte dient te worden vrijgesproken.

Bij een strafzaak moet het gaan om wettig en vooral overtuigend bewijs. Oftewel, geen redelijke twijfel. Enkel “hij lijkt best goed” is niet hetzelfde als “er is geen twijfel dat dit hem is”. Tussen de regels door lees ik dat de rechtbank alléén een fotoherkenning te weinig vindt. Had zijn telefoon even uitgepeild, een vingerafdruk genomen of iets anders dat hem op de plaats delict zet. Maar dit is echt te weinig.

Arnoud

Wacht, Marktplaatsoplichting is geen oplichting?

| AE 12345 | Informatiemaatschappij | 22 reacties

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt een of andere truc.

In het gewone spraakgebruik spreken we al snel van oplichting als iets tegenvalt en je je geld (of spullen) kwijt bent. De Van Dale stelt het gelijk aan bedriegen, wat dan weer “met opzet misleiden” betekent. Maar juridisch gezien zitten er heel wat meer haken en ogen aan. Dit is wat de wet zegt (art. 326 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
De juridische definitie van “oplichting” eist dus heel wat meer dan alleen een stukje voor de gek houden of misleiden. Je moet echt een vuile truc uithalen. Dat kan dus met een valse naam of hoedanigheid, of door (oud-juridische taal is echt ongelofelijk prachtig) listige kunstgrepen of (nóg prachtiger) een samenweefsel van verdichtsels uit te halen. Maar doe je dat allemaal niet, dan is het dus geen oplichting.

Het simpelste voorbeeld: ik zet op Marktplaats een telefoon te koop voor een lage prijs, mensen betalen me dat geld, ik sluit mijn account en lever nooit en te nimmer die telefoon. Sterker nog, ik héb niet eens een telefoon. Ik ben nu juridisch niet strafbaar, want welke valse naam of hoedanigheid heb ik gebruikt, wat was mijn listige kunstgreep of samenweefsel van verdichtsel dan? Die zijn er niet.

Natuurlijk, ik pleeg wanprestatie en ben dus civielrechtelijk voor de rechter te dagen. Ook heb ik (als ik professioneel handelaar ben) waarschijnlijk een oneerlijke handelspraktijk gepleegd en ben ik bestuurlijk te beboeten als de ACM heel veel zin heeft. En ik ben mijn account op Marktplaats kwijt, inclusief al mijn reviews en geschiedenis en dat doet ook pijn. Maar strafbaar, in de zin van een strafblad, boete en de cel in? Nee.

De kern is dat als je alléén maar niet levert (en dat ook niet van plan was), dat je dan geen oplichter bent omdat dat “valse voorwendselen of samenweefsel van verdichtsels” vereist. Je moet echt een truc uithalen om oplichter te zijn.

In 2016 zette de Hoge Raad de principes hierover nog eens op een rijtje. De kern is dat je niet iedere vorm van bedrog tot het misdrijf oplichting (vier jaar cel) wil verheffen. Het moet wel een ernstig geval zijn. Men citeert een voorbeeld van een internetondernemer die wist dat hij niet kon leveren maar desondanks de webshop open hield:

Niet elke vorm van bewust oneerlijk zakendoen levert het in artikel 326 van het Wetboek van Strafrecht strafbaar gestelde misdrijf ‘oplichting’ op. Dat geldt eveneens wanneer kan worden bewezen dat men is benadeeld door een persoon die niet van plan of in staat was zijn verplichting na te komen en die zich in strijd met de waarheid heeft voorgedaan als een bonafide (ver)koper.
Natuurlijk staan kopers dan een tikje in de kou. Maar er zijn genoeg andere middelen, zoals betalen met een beschermd middel (zoals de creditcard), onderzoek doen naar betrouwbaarheid (de reviews) of kopen bij bekende webwinkels (met keurmerken zoals Thuiswinkel Waarborg) of achteraf betalen dan wel bij het ophalen/ontvangen. (Oh ja, en in theorie de verkoper dus voor de rechter slepen, maar wie doet dat nou.) Het is dan eigenlijk niet meer nodig dat het strafrecht hier tegen ingezet kan worden.

Specifiek in de internetcontext zijn wel ontzettend vervelend de figuren die een gewoonte maken van niet leveren maar wel het geld houden. Daar is een oplossing voor bedacht, die recent in het strafrecht is beland (art. 326e Strafrecht):

Hij die een beroep of een gewoonte maakt van het door middel van een geautomatiseerd werk verkopen van goederen of verlenen van diensten tegen betaling met het oogmerk om zonder volledige levering zich of een ander van de betaling van die goederen of diensten te verzekeren, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Hiermee is het dus wel mogelijk om grootschalige internetbedriegers aan te pakken, maar blijven de individuele “je zei dat je zou leveren dus ik ga aangifte doen” gevallen buiten het strafrecht. Ik ken nog geen veroordelingen onder dit artikel.

Arnoud

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat het feit in 2017 is begaan en het blanco strafblad tot dan toe is straf niet meer nodig. Opmerkelijk detail: meneer deed mee aan het Hack Right programma (een alternatief straftraject) maar rondde het niet af omdat hij daarvoor had moeten bekennen.

Het doet voor mensen gek aan dat iemand schuldig is aan een strafbaar feit (hier zelfs een misdrijf) maar desondanks geen straf krijgt. Maar dat kan: als de rechter geen reden ziet om straf op te leggen, dan hoeft dat natuurlijk niet. Zou de dader hier een beter mens van worden, of zou de maatschappij er beter van worden? Zo niet, dan is het verspilling van middelen.

In de comments zie ik nog de nodige discussie over dat HackRight programma. Dit is een speciaal programma om jonge hackers (men bedoelt: cybercriminelen) weer op het rechte pad te krijgen:

HackRight kan als alternatief voor een straf maar ook als onderdeel van of náást een straf opgelegd worden. Alleen jongeren die bekennen, geen zeer ernstige vormen van hacking hebben gepleegd en bereid zijn zich op een positieve manier te ontwikkelen, komen ervoor in aanmerking. Bovendien moet het om een eerste cyberdelict gaan. ‘Want dan is de kans dat ze hun gedrag veranderen het grootst’, licht Martijn Egberts toe. ‘Hack_Right bestaat uit vier modules, die je kunt zien als vier puzzelstukjes: herstel, training, alternatief en coaching. Elke module voegt iets toe aan de gedragsverandering van de jongeren.’
De term straftraject is wat verwarrend. Straf legt alleen de rechter op, en hier gaat het om een transactie, een schikking die je als verdachte met het OM afspreekt. Dat kan, maar betekent niet dat je veroordeeld bent. De rechter kan je niet veroordelen tot bijwonen van Hack Right, om de eenvoudige redenen dat dit niet in het wetboek van strafrecht als straf staat (artikel 9 Wetboek van Strafrecht).

Dat gezegd hebbende, je krijgt wel een strafblad als je hieraan meedoet want een OM-schikking of transactie wordt daarop vermeld. Dus als je als jongere in deze situatie zit, áltijd eerst met een advocaat overleggen.

Arnoud

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Openbaar Ministerie adviseert ethisch hackers uitgebreid te loggen

| AE 10920 | Regulering | 12 reacties

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te… Lees verder

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Regulering | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan,… Lees verder