Virtuele goederen én belminuten kun je stelen

| AE 2886 | Security | 50 reacties

second-life-mobiele-telefoon-diefstal.jpgVirtuele goederen, zoals de meubi’s bij Habbo en de amuletten in Runescape, kun je stelen. Dat wisten we al een tijdje maar de Hoge Raad geeft er nu definitief haar zegen aan. En op dezelfde dag bepaalt ze ook dat je belminuten en sms’jes kunt stelen. En dát was voor mij in ieder geval nieuws.

Om van diefstal te kunnen spreken, moet er een “goed” zijn, oftewel een voor menselijke beheersing vatbaar tastbaar iets dat kan worden weggenomen. Elektriciteit valt onder die definitie (prima te hanteren met rubber handschoenen immers), maar computergegevens niet (kopiëren is geen stelen, hoi Tim).

Op het eerste gezicht leek het dan ook gek dat bij een Habbo-zaak diefstal met geweld, oftewel beroving, ten laste werd gelegd. Twee jongens hadden een ander met een mes gedwongen zijn meubi’s af te geven in het spel namelijk. Maar zijn die meubi’s wel te stelen? Het zijn toch computergegevens in de servers van Habbo? Idem voor een Runescape-zaak met ongeveer dezelfde omstandigheden.

Ja, die dingen kun je stelen, aldus de rechtbank in beide zaken. Zulke virtuele goederen zijn gemáákt om te worden verplaatst en weggegeven. Daarmee zit de mogelijkheid van stelen (wegnemen) er in gebouwd. Even IT-technisch: wanneer een systeem alleen de atomaire actie “verplaatsen” kent en niet “kopiëren” dan is het diefstal de verplaatsbare objecten te verplaatsen zonder toestemming van hun eigenaar.

Voor virtuele goederen kan ik dat nog wel volgen, maar in een ander arrest bepaalde de Hoge Raad hetzelfde voor belminuten en sms’jes. In die zaak had een man een simkaart van een bedrijf weten te verkrijgen en was hij daarmee gaan bellen, wat opviel toen de rekening van ” 2.645,39 binnenkwam. Hij werd vervolgd, en wel voor diefstal – nee, niet van de sim maar van de belminuten en de 100 euro aan sms’jes.

Volgens het gerechtshof was er inderdaad sprake van diefstal, omdat belminuten en sms’jes gewoon ‘goederen’ zijn die je kunt wegnemen. Immers, wie ze gebruikt, maakt ze op, en ze vertegenwoordigen nog waarde ook. En “gelet op de functie die belminuten en sms-berichten in het maatschappelijke verkeer vertegenwoordigen” moeten we ze dus gewoon als goederen zien. De Hoge Raad is het daarmee eens, want

Ook een niet-stoffelijk object kan [onder ‘steelbaar goed’] worden begrepen, mits het gaat om een object dat naar zijn aard geschikt is om aan de feitelijke heerschappij van een ander te worden onttrokken.

En tsja, de mogelijkheid een sms-bericht te versturen (want daar komt het op neer) voldoet aan die definitie. Dat object, die teller in de databank bij de telecomprovider, ben je kwijt als het aangepast wordt in die databank. Sjonge.

Mijn oude prof aan de TU Eindhoven zei ooit “het verschil tussen hardware en software is dat hardware pijn doet als het op je voet valt”. Dat vond ik altijd wel een mooi criterium, ook voor de vraag of iets te stelen is. Maar juridisch gezien klopt dat niet meer; ook niet-tastbare zaken zijn dus prima te stelen als hun functie is dat ze kunnen worden verbruikt of verplaatst. Dataverkeer zal er zeker onder vallen nu, en credits in een spel ook.

Wie weet er nog meer dingen die volgens dit criterium kunnen worden gestolen?

Update (18 april): de Hoge Raad bepaalde vandaag dat ook credits gestolen (verduisterd) kunnen worden. Die credits konden worden gekocht via een telefoon en daarna doorgezet naar andere diensten.

Arnoud

Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

| AE 1540 | Informatiemaatschappij, Security | 23 reacties

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

In een virtuele wereld kun je ook stelen

| AE 1274 | Informatiemaatschappij, Security | 39 reacties

runescape-diefstal.jpgEen amulet in een virtuele wereld blijkt een zaak die je kunt stelen, zo vonniste de rechtbank Leeuwarden eergisteren. Twee jongens wisten september vorig jaar van hun slachtoffer enkele virtuele goederen in de online roleplaying game Runescape af te pakken. (Dit is dus niét de Habbo-zaak waarover ik in november vorig jaar berichtte) Het slachtoffer werd met geweld gedwongen om naar het huis van één van de daders te gaan, waar men inlogde op Runescape en het slachtoffer verplicht werd om in te loggen zodat men de controle over zijn account over kon nemen en al zijn virtuele goederen naar hun eigen avatars kon overzetten. Ook dit ging gepaard met het nodige fysieke geweld.

Het is duidelijk dat hier sprake was van bedreiging met en gebruik van geweld, maar het opmerkelijke aan deze zaak was dat men diefstal van de goederen ten laste had gelegd. Het is namelijk geen uitgemaakte zaak dat je dergelijke virtuele zaken kúnt stelen.

Waarom was dit dan wel diefstal? De rechtbank formuleert een aantal eisen. Zo moet de bezitter waarde hechten aan het item, maar dat hoeft geen financiële waarde te zijn. Dat was in deze zaak duidelijk het geval. Ook moet je de feitelijke macht erover kwijt kunnen raken, en dat kan bij dit soort virtuele zaken natuurlijk prima.

De belangrijkste eis is echter dat sprake moet zijn van “voor menselijke beheersing vatbare objecten”. En dat is een lastige als het gaat om dingen die geen pijn doen als ze op je voet vallen. Computergegevens zijn bijvoorbeeld geen zaken die je kunt stelen, en bandbreedte ook niet. Elektriciteit dan weer wel, wat voor de fysici onder u misschien moeilijk te verteren is, maar dat mag u in de comments kwijt. In ieder geval, de rechtbank is daar vrij makkelijk in:

De virtuele amulet en het virtueel masker als bedoeld in de onderhavige zaak zijn geen stoffelijke goederen, alhoewel ze wel waarneembaar zijn. Gelet op de bedoelde jurisprudentie is dat geen beletsel om ze als goed als bedoeld in artikel 310 van het Wetboek van Strafrecht aan te merken.

Daarmee is de strafbaarheid gegeven. Vanwege de jonge leeftijd van de verdachten (14 jaar ten tijde van de diefstal) krijgen ze een werkstraf van 160 uur.

Dit is een baanbrekend vonnis, dat bij mijn weten één van de eerste keren vormt dat in Europa een virtueel item als steelbaar aanmerkt. Wat mij betreft een goede ontwikkeling. Wat offline moet online gelden heet het altijd, en het wegnemen van virtuele goederen is in principe net zo kwalijk als het wegnemen van “echte” goederen.

Natuurlijk betekent dat niet dat elke kopieeractie nu diefstal is. Het uploaden van muziek valt dus niet onder 310 Strafrecht (lees je mee, Tim?), want daarmee raakt de uploader noch de rechthebbende de feitelijke macht kwijt over de muziek. Dit vonnis gaat over situaties waarin één specifiek persoon de macht heeft over een object, en die kan overdragen. Het zal dus vooral voor virtuele werelden zoals Runescape, maar ook Habbo Hotel of World of Warcraft van belang zijn.

Update (12 november 2009): bevestigd in hoger beroep.

Ik twijfel of het ook opgaat voor domeinnamen. Ook die zijn maar door één persoon tegelijk te gebruiken, en je kunt op dezelfde manier als deze jongens deden zorgen voor de overdracht van een domeinnaam. Wat denken jullie? En waar zou dit vonnis nog meer toepassing vinden?

Arnoud