Wie is aansprakelijk voor schade door malware op een website?

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

Mag een museum oude computervirussen tentoon stellen?

oud-virus-drop-charactesHet Internetarchief heeft een collectie van virussen en andere ‘schadelijke’ software gepubliceerd die in 1980 en 1990 werd verspreid, meldde Nu.nl vorige week. Sommige van die virussen herinner ik me ook nog wel – ja, ik word oud. Vooral die ene waarbij ineens letters verticaal omlaag vielen, maar die zie ik er dan net weer niet tussen. Maar goed, juridische blog: mag dat?

Het is natuurlijk strafbaar om gegevens zoals software te verspreiden die “zijn bestemd om schade aan te richten in een geautomatiseerd werk” (art. 350a Strafrecht), en vrijwel elk virus, worm of Trojan valt daaronder. Vroegâh stond er bij dat wetsartikel nog “door zichzelf te vermenigvuldigen”, zodat Trojans er niet onder vielen en je zelfs bij gewone virussen vraagtekens kon hebben (moet de schade komen door het vermenigvuldigen, hoe dan). Maar goed, dat is gefixt.

Er is een uitzondering op dit verspreidingsverbod, lid 4:

Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.

Deze uitzondering is toegevoegd om ervoor te zorgen dat virusonderzoekers legaal hun bevindingen met elkaar kunnen delen. Soms moet je daarvoor ook immers viruscode aan elkaar geven, en dat zou toch niet strafbaar moeten zijn. Een museum heeft echter niet het oogmerk om “schade te beperken”, dat wil gewoon laten zien hoe die virussen eruit zagen.

Het “Malware Museum” heeft een andere oplossing gevonden – de code is gedeeltelijk onschadelijk gemaakt, ongeveer zoals je zou doen met een oud geweer voordat je het tentoon stelt. Zo’n aangepaste versie zou dan niet meer zijn “bestemd” om schade aan te richten, zodat je in principe niet meer strafbaar bent. Maar het zou er voor mij wel vanaf hangen hoe eenvoudig die aanpassing ongedaan te maken is. Hoewel? Iedere virusscanner is toch in staat om dit oud grut tegen te houden?

Arnoud

Waarom garandeert mijn softwarelicentie de afwezigheid van virussen?

Een lezer vroeg me:

Vaak zie ik in softwarelicenties iets als dit: “Leverancier garandeert dat de Software geen virussen, achterdeuren, logische bommen of andere kwaadaardige routines bevat.” Waarom doen juristen dat? Het is toch raar dat een leverancier zou zeggen “onze software bevat een virus”?

Voor mijn gevoel is de clausule vandaag de dag een copypasteclausule: iedereen doet dit al jaren, dus laat ik het ook maar doen. Maar dat terzijde.

Het idee achter een garantie is dat je de leverancier kunt aanspreken als het toch gebeurt. Het zal zelden voorkomen dat er een virus (van een ander) in software zit, dus dit is een goedkope garantie om te geven.

Specifiek voor de achterdeuren en logische bommen kan de clausule belangrijker zijn dan ze lijkt. Het is enige tijd werkelijk praktijk geweest dat software werd voorzien van achterdeurtjes waarmee de leverancier ondanks alle beveiliging ‘in’ de software kon komen, of van logische bommen die bij wanbetaling afgingen zodat de software onbruikbaar werd.

Vandaag de dag is het vrijwel ondenkbaar dat geleverde software dergelijke kwaadaardige code bevat. Althans, stiekem. Software kan nog steeds uitschakelroutines hebben, maar die wordt dan netjes gemeld. En dan is het moeilijk dit een ‘kwaadaardige’ routine te noemen. Een enkele keer blijkt een ontevreden werknemer dergelijke code ingebouwd te hebben om zijn werkgever dwars te zitten of af te persen, maar dat is iets dat naar de klant toe toch echt voor rekening van die werkgever moet komen.

Arnoud

Ben je als bedrijf aansprakelijk voor meegemailde virussen?

attachment-bijlage-mail-email-doorsturen-geheim.jpgEen lezer vroeg me:

Op mijn werk werken we alleen met Apple computers en Mac OS X. We hebben geen virusscanners, omdat er geen reële virusdreiging is voor dat platform. Echter, het zou kunnen dat wij per mail bijlages ontvangen met Windowsvirussen erin. Daar hebben wij geen last van, maar als we die doorsturen naar een Windows-draaiend bedrijf dan krijgen zij daar wél last van. Zijn wij daar dan aansprakelijk voor?

Je bent aansprakelijk voor schade die jou te verwijten is, mits je daarbij onrechtmatig gehandeld hebt. Als je concurrent goedkoper is, heb je schade (gemiste omzet) maar dat is niet onrechtmatig.

Je handelt onrechtmatig als je een wettelijke bepaling overtreedt, iemands rechten schendt of maatschappelijk onzorgvuldig handelt. Virussen doorsturen is strafbaar, ook als je dat door nalatigheid doet (art. 350b Strafrecht):

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Zou je dus in deze situatie kunnen spreken van “schuld”, oftewel nalatigheid, domheid, dan kun je dit handelen betitelen als “onrechtmatig” en daarmee moet het Mac-bedrijf de Windowsvirusschade vergoeden. Je kunt het ook op ‘gewoon’ die onzorgvuldigheid gooien: iedereen weet dat Windows virussen kent, dus het is onzorgvuldig om daar geen maatregelen tegen te nemen als je met Windowsmensen communiceert.

In beide gevallen komt de vraag op hetzelfde neer: hoe veel rekening moet je houden met virussen voor platforms waar jij je niet mee bezighoudt?

Ik neig er wel naar die ‘gewone’ onzorgvuldigheid als norm te zien. Windows is zó populair dat je daar rekening mee moet houden, ook als jij dat zelf niet gebruikt. En je weet dat daar virussen rondzwerven, dus let daar even op. Plus, het gaat hier over mailbijlagen die je dus van internet krijgt en zonder te controleren doorstuurt naar je klanten of relaties. Mag ik dat sowieso best wel slordig noemen?

Arnoud

Is een site aansprakelijk voor besmette advertenties?

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het platform of die sites aansprakelijk kunnen stellen voor je schade?

Het verspreiden van virussen is natuurlijk strabaar (art. 350a Strafrecht):

Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Met de term “bestemd om schade aan te richten” worden dus virussen, Trojans en andere vormen van malware gedekt. Vroeger stond daar nog wat bij over “zichzelf vermenigvuldigen in een geautomatiseerd werk” zodat je je kon afvragen of een zuivere Trojan er ook onder zou vallen.

Met dit wetsartikel zijn de virusverspreiders dus aan te pakken. En natuurlijk zijn ze ook voor computervredebreuk te vervolgen – ze hebben immers een technische ingreep op de OpenX server van Adfactor gepleegd om deze zo iets te laten doen waar ze niet toe bevoegd waren. Maar ja, vind ze maar eens.

Wat veel mensen echter niet weten, is dat er naast artikel 350a ook nog een artikel 350b Strafrecht is dat over virusverspreiding gaat. En dát artikel biedt een optie om ook eens met gefronste strafrechtwenkbrauwen te kijken naar Adfactor of de sites die via dat netwerk advertenties laten zien:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Het verschil zit hem in “wiens schuld te wijten” versus “wie verspreidt”. Wie verspreidt, kiest daar actief voor. Wie schuld heeft, heeft dat niet actief gekozen maar was wel een beetje dom bezig, zeg maar. Lichtzinnigheid (“dat valt wel mee, gebeurt toch niet”) of niet genoeg nadenken terwijl dat wel had gemoeten. Beiden zijn vormen van nalatigheid.

En dat biedt dan perspectieven: kun je een advertentienetwerk zulke nalatigheid verwijten? Hoe hard moet je je servers en software controleren, welke mate van nadenken mag je verwachten van zo’n platformbeheerder of van de site waar de advertenties op komen te staan?

Ik ben geneigd te zeggen, dit mag gewoon niet gebeuren klaar – maar dat is onrealistisch, er kan altijd een zeer geavanceerde hack langskomen waar gewoon écht niets aan te doen is. Plus, het blijft mensenwerk dus fouten kunnen altijd gebeuren. Een fout betekent niet automatisch nalatigheid. Maar waar leg je dan de grens? Hebben jullie een suggestie?

Arnoud

Aansprakelijk voor schoonmaakkosten van een virus van je ebookleverancier

Even geen gratis e-books meer, las ik via Twitter bij de blog van Jan Willem Alphenaar. Hij had deze ondergebracht bij een externe site die het “betaal met een tweet”-principe voor hem implementeerde. Dus verplicht twitteren dat je het boek hebt, en dan gratis downloaden. Maar die site bleek rare software (‘Mystart Incredibar’) te installeren bij een geïnteresseerde in het e-book. En deze dreigt nu een factuur te sturen voor de uren van zijn ICT-er om deze weer te verwijderen. Eh, wacht, wát?

Na enig puzzelen bleek het probleem hem te zitten in dit schermpje:

Ziet u ook dat knopje “Download” rechts? Inderdaad, dat downloadt niet het e-book maar een gezellige browserbalk die héél hard blijft plakken. Malware dus. En die verwijderen is geen eenvoudige zaak.

Maar of je de rekening daarvoor bij Alphenaar kunt zeggen, betwijfel ik. Natuurlijk, had hij dit systeem niet gebruikt dan was de infectie niet opgetreden. Maar dat is niet genoeg om automatisch hem alle rekeningen te laten betalen.

Specifiek voor virussen is er een aparte strafbepaling in de wet (art. 350b Strafrecht): als het je te verwijten is dat er een virus (verder) verspreid werd, ben je strafbaar én civiel aansprakelijk voor de schade. Je hebt schuld aan de verspreiding als je de verspreiding had kunnen voorzien met de nodige veiligheidsmaatregelen of onderzoek, en het onzorgvuldig is dat je dat niet hebt gedaan.

Is browserbalkmalware een virus? In principe niet, want het heeft niet als doel schade aanrichten in de computer waar het geïnstalleerd is. Maar volgens het Kournikova-arrest hoeft het doel niet heel expliciet te zijn. Ook het per ongeluk laten vastlopen van systemen (bv. doordat het virus zich te enthousiast verspreidt) telt als ‘schade’. De kosten van het opruimen zijn echter geen ‘schade’ die die balk beoogt of indirect beoogt. De maker van die balk wil integendeel juist dat deze goed werkt, anders gaan mensen ‘m te snel verwijderen.

Echter ook als het geen virus is, gaat die norm van “had je het redelijkerwijs kunnen voorkomen” wel op in het civiele recht. Als die browserbalk in het e-book zelf zat, dan zou ik wel grond zien voor een claim: natuurlijk haal je zo’n e-book even door een scanner voordat je deze uploadt. Wie dat niet doet, is dus nalatig en moet de schade vergoeden.

Maar is het redelijk om te moeten voorzien dat je e-bookverspreider misleidende downloadknoppen toevoegt aan jouw schermpje met “betaal met een tweet”? Dat lijkt me toch niet. Ik kan me moeilijk voorstellen dat een verspreidingssite dit opzettelijk doet, dat kost ze hun reputatie. En googelen naar het bedrijf levert me geen resultaten op die wijzen op boze intenties.

Oké, ze kunnen per ongeluk zijn geïnfecteerd (dat overkomt zelfs Google) maar daar hoef je als e-bookuploadende gebruiker van die dienst geen rekening mee te houden. Dus ook dan zie ik geen grond voor een claim.

En nog iets anders: ik heb zelf een paar keer die “pay with a tweet”-diensten gebruikt maar nog nooit zo’n downloadknop aan de zijkant gezien. Je gaat je dan haast afvragen of een eerder stukje malware niet die webpagina bewerkt heeft.

Arnoud

Spionagemalware Duqu schendt GPL

duqu-gpl.pngSjongejongejonge, wat zullen de Duqu-makers daar wakker van liggen: de beruchte spionagemalware Duqu bevat open source-code die onder de ‘virale’ licentie GPL vallen, las ik bij Webwereld. Duqu blijkt open source blokken te bevatten van derden en die licentie te negeren.

Tsja, wat moet je met zo’n berichtje? Ik noem het maar ‘grappig’, wanthet is ergens wel grappig om te denken dat malwaremakers die economische spionage en mogelijk zelfs hardwarevernielingen gaan veroorzaken een opensourcelicentie zullen respecteren. Gelukkig dus maar dat er “This post is for fun, don’t take it too seriously,” bij staat.

En dan maar doorpakken op een stukje irritatie van mij: je kunt in situaties als deze de GPL niet schenden, want de GPL is niet bindend als je je er niet aan houdt. Je pleegt auteursrechtinbreuk, natuurlijk, maar eisen dat iemand de GPL naleeft is onmogelijk. Tenzij iemand gezégd heeft de GPL te willen naleven en vervolgens dat blijkt niet te doen.

In maart hadden we nog een discussie over GPL bij tablets, waarbij de discussie was of je als koper de GPL kon afdwingen. Dat kan (via een derde-begunstigde discussie) maar wél moet dan eerst vaststaan dat de verkoper zich aan de GPL heeft gebonden.

Het enkele feit dat iemand GPL-licensed code verspreidt, is nog geen bewijs dat hij zich aan de GPL heeft geconformeerd.

Arnoud

Hackers besmetten Nederlandse internetters via advertentienetwerk

fake-alert.pngHackers hebben malware verspreid via een advertentienetwerk, meldde Tweakers gisteren. Bekende sites van Wegener, Sanoma en Reed Business zouden zijn getroffen, maar niet Nu.nl, meldt Nu.nl. Het virus doet voorkomen alsof een computer crasht en biedt vervolgens een oplossing voor het probleem, waar de gebruiker dan wel voor moet betalen. Drie keer raden welke vraag ik nu ga behandelen.

De wet stelt het opzettelijk verspreiden of ter beschikking stellen van kwaadaardige software zoals virussen en wormen strafbaar, met de generieke definitie “programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk”. Daarmee zijn zo ongeveer alle soorten virussen en wormen gedekt.

Het per ongeluk (laten) verspreiden van virussen of het beschadigen van systemen of informatie is in principe niet strafbaar. Als er door een lek in de software binnengedrongen is, dan is geen sprake van opzet. Er is echter een ondergrens: als systemen door grove nalatigheid beschadigd of onbruikbaar worden gemaakt, dan is het betrokken bedrijf wel degelijk strafbaar. Wel worden de maximumstraffen dan verlaagd.

Het virus (de Trojan?) blijkt verspreid via een advertentienetwerk. Hoe de advertentieserver van het netwerk kon worden besmet, kon men gisteren nog niet zeggen. Dat maakt het moeilijk bepalen of sprake is van grove nalatigheid.

Er is nog nooit iemand aangeklaagd met als beschuldiging grof nalatig te hebben gehandeld bij het verspreiden van virussen of het laten aanrichten van schade. Wellicht dat dit in de toekomst gaat gebeuren: nu het eigenlijk algemeen bekend is dat men eigenlijk een virusscanner en firewall op de pc moet hebben, kan het grof nalatig worden om dit niet te doen. Hetzelfde kan gelden voor bedrijven die hun software niet bijwerken door de updates van Microsoft, Apache en andere bedrijven niet te installeren.

Een boze schadeclaimbrief naar Wegener en andere partijen die meewerkten is echter snel geschreven, en wie weet schrikt er daar dan iemand zó van dat men zomaar gaat betalen. 😉

Arnoud

DollarRevenue-affiliate krijgt 14.000 euro boete voor verspreiden reclameworm

Een affiliate van het beruchte DollarRevenue heeft van de rechtbank een boete van 14.000 euro gekregen, meldde Webwereld vorige week. De OPTA kwam tijdens het onderzoek naar spyware van DollarRevenue de namen tegen van twee Nederlanders die als affiliate stonden geregistreerd bij het bedrijf. Zij verspreidden tegen betaling de DollarRevenue-software, en de OPTA merkte ze daarom aan als zelfstandig verspreiders van spyware.

Eén van de beboete personen ging in beroep, maar ook de rechtbank acht hem schuldig. Alleen de hoogte van de boete wordt ietwat gematigd (van 16.000 naar 14.000 euro) omdat onvoldoende rekening was gehouden met het feit dat hij ten tijde van de overtreding psychisch in de war was.

Het maakte niet uit dat deze personen ‘slechts’ affiliates waren en dus andermans software promootten. Hun handelingen zorgden er namelijk voor dat de software werd geïnstalleerd op computers van eindgebruikers, en dat mag niet als daar niet expliciet toestemming voor is gekregen. Het boetebesluit van de OPTA legt uit hoe de affiliates werkten:

[E]en argeloze gebruiker kreeg een link toegestuurd naar de kwaadaardige software via één van de contactpersonen uit zijn MSN-contactenlijst. De gebruiker dacht dat dit een persoonlijke boodschap betrof met een link naar een foto. Zodra hij de link opende, werd advertentie- en verspreidingssoftware op zijn computer geïnstalleerd. De volgende keer dat de gebruiker het chatprogramma MSN opstartte, werd automatisch aan al zijn contactpersonen in de contactenlijst dezelfde link toegestuurd.

Dat is dus niets meer of minder dan een ordinaire worm die zichzelf verspreidt. En of je nu je eigen of andermans worm loslaat, het is en blijft een overtreding van de wet.

Zestien- of veertienduizend: het blijven forse boetes. Bij deze zaken krijg je wel altijd de vraag of ze echt effectief zijn. Deze spyware is op 180.000 computers geïnstalleerd en volgens Tech’n Security kreeg je

30 cents per install in the USA, 20 cents per install in Canada, 10 cents in the UK, 1 cent in China and .02 cents in other countries

Volgens Pay per Install geldt die “.02 cents” voor Azië, dus ik aarzel nu wat het Nederlandse bedrag is. Bij 10 cent per installatie (analoog aan de UK) is de revenue dus 18.000 dollar, maar bij 2 cent is het slechts 3600 dollar en dan heeft de boete toch wel aardige impact.

Arnoud

Toxbot-verspreider pleegde computervredebreuk en “gemeen gevaar” voor financiële dienstverlening

De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. Dat meldde ISPam.nl gisteren. Het Gerechtshof had de verkeerde toets aangelegd om te bepalen of sprake was van “gemeen gevaar” voor het verlenen van diensten. Maar het binnendringen in een ongepatchte Windows XP Servicepack 0-computer is wel degelijk computervredebreuk, want “[de Hoge Raad] heeft geoordeeld dat elke consumentenversie van het computerbesturingssysteem Windows XP is voorzien van enige beveiliging in de zin van art. 138a, eerste lid aanhef en onder a, (oud) Sr.”

In 2005 rolde de Nationale Recherche een botnet op van meer dan 100.000 gehackte computers dat opgebouwd was uit Toxbotbesmette computer. Het netwerk werd gebruikt als springplank voor computervredebreuk maar ook voor het kapen van Ebay- en Paypalaccounts. Dankzij onder meer een oplettende SARA-systeembeheerder kon een onderzoek gestart worden, waar onder meer uit bleek dat meneer flink de pé in had omdat hij het virus “codbot” wilde noemen en “stomme av’s” hadden gekozen voor “toxbot”. Maar, iets relevanter: dat hij updates van Toxbot verstuurde naar een medeverdachte en dat beiden commando’s gaven aan het botnetwerk dat zij beheerden om nieuwe versies van het virus te verspreiden.

Onder de toenmalige Wet Computercriminaliteit kon slechts sprake zijn van computervredebreuk als een beveiliging werd doorbroken. En dat stond hier ter discussie, omdat Windows van vóór SP2 naar deskundige meningen zo lek als een mandje (zonder onderkant) geacht wordt. Maar dat maakt niet uit. Zodra het slachtoffer van computervredebreuk kan aantonen dat er sprake is van enige reële beveiliging dan is dat voldoende. Omdat Microsoft de optie van administratortoegang van buitenaf bij de introductie van XP bewust geblokkeerd had, en Toxbot toch met adminprivileges kon draaien, was daarmee sprake van doorbreken van een beveiliging.

In haar arrest had het Gerechtshof daarbij geconstateerd

Zoals uit de wetsgeschiedenis blijkt kan daarbij worden gedacht aan het plaatsen van een tekst op het beeldscherm dat toegang voor onbevoegden verboden is. Maar omdat deze woorden een per ongeluk tot stand gekomen toegang niet uitsluiten, bevat voornoemd artikel 138a onder meer ook het aanvullende vereiste dat sprake moet zijn van enige beveiliging, ofwel een kenbare drempel zodat onbevoegden zich niet simpelweg de toegang kunnen verschaffen.

De Hoge Raad stemt daarmee in en voegt daaraan toe:

dat onder het doorbreken van enige beveiliging, zoals bedoeld in art. 138a, eerste lid onder a, (oud) Sr, mede dient te worden verstaan het tegen de wil van de rechthebbende binnendringen in een computer langs een weg die de aanwezige beveiliging niet of onvoldoende afsluit. Daarbij is, anders dan de steller van het middel betoogt, niet van belang of die opening inherent is aan het systeem of is veroorzaakt door andere ‘aanvallers’.

Onder het huidige recht geldt een nóg lagere standaard: je hoeft niet eens een beveiliging te doorbreken, genoeg is “het tegen de wil van de rechthebbende binnendringen in een computer”. (Hoewel in april 2010 binnendringen op een draadloos netwerk niet strafbaar werd geacht.)

Het Gerechtshof had bij de gekaapte Ebay- en Paypalaccounts geoordeeld dat geen sprake was van het veroorzaken van “gemeen gevaar” voor dienstverlening. Dat artikel (ook ingezet bij DDoS-aanvallen) was niet van toepassing volgens het Hof omdat alleen de computers van de eindgebruikers waren verstoord, en niet de servers die de dienst leveren. Zolang die servers gewoon draaien, is er geen “gemeen gevaar”, zeg maar.

Dat onderscheid is echter irrelevant volgens de Hoge Raad. Het gaat er niet om of servers dan wel clients verstoord worden, maar of er sprake is van “gevaar voor een ongestoorde dienstverlening aan een onbestemd doch aanmerkelijk aantal afnemers.” Het gaat erom of van de opzettelijk veroorzaakte stoornis gemeen gevaar te duchten was voor een ongestoorde dienstverlening. En dat kan ik wel billijken: als je een groot deel van de clients weet te compromitteren dan breng je toch de dienstverlening in gevaar, zelfs als de servers ongestoord doordraaien. De dienst wordt op die manier onbetrouwbaar omdat mensen hun vertrouwen erin verliezen – en dat is eigenlijk erger dan dat de servers er om de haverklap uitliggen.

Arnoud