Mag PayPal weigeren je transacties te betalen als je tardigrades verkoopt?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik las over een Amerikaans bedrijfje dat speeltjes van tardigrades verkoopt, en waarvan de transacties door PayPal worden geweigerd. Daar is geen enkele aanleiding toe, kan dat bedrijf dat zo maken?
Antwoord: Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van menig internetondernemer. Alleen een probleempje: betalingsdienstverlener PayPal laat geen betalingen toe voor wie deze ornamenten bestelt. Na klachten van het bedrijf kreeg men te horen dat de naam maar gewoon aangepast moet worden. Nu is mijn vuistregel dat wie "gewoon" gebruikt, eigenlijk te lui is om het probleem op te lossen, maar hier was meer aan de hand.
Het is al langer bekend dat PayPal bedrijfsnamen scant op bepaalde ongewenste termen, iets dat in het wereldje bekend staat als het Scunthorpe probleem – per abuis een woord weigeren omdat het een vies woord lijkt. (Bij ons zouden we dit het Sexbierum-probleem noemen, en ja ik ken kinderen die zich niet online mochten registreren bij bepaalde spelletjes omdat hun plaatsnaam vieze woorden bevatte.) Maar wat is er in vredesnaam mis met tardigrade? Zelfs in de diepste krochten van internet lijkt dit geen vies woord te zijn geweest, Rule 34 ten spijt.
Enig puzzelwerk op Twitter gaf een logischer verklaring:
there’s an arms dealer by the name of Tardigrade Ltd., so the OFAC banned all transactions containing the word Tardigrade, causing problems for anyone selling products related to this cute micro-organism
De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. En inderdaad staat het Cypriotische Tardigrade Limited op de sanctielijst, daar mag je geen zaken mee doen als Amerikaanse wetgeving jou raakt. Dus logisch dat PayPal dat blokkeert. Alleen dus iets grofmaziger dan je zou denken: niet enkel als afzender of ontvanger van het geld "Tardigrade Limited" heet, maar als ergens in enig veld van de transactie (zoals wat er besteld is) dat eerste woord voorkomt, dan mag het niet. We mogen kennelijk van geluk spreken dat ze "limited" niet apart als woord opgenomen hebben.
De reden dat PayPal zo agressief screent, is dat ze in 2015 een enorme boete van 7,7 miljoen dollar hebben gekregen voor het doorlaten van 486 overtredingen van deze sanctiewetgeving. Daar word je als bedrijf wat zenuwachtig van, en je ziet in het persbericht ook al meteen vergaande maatregelen om dit niet meer te laten gebeuren. Dat daardoor een enkele waterbeerverkoper niet meer kan handelen, ach. Die levert minder winst op dan die 7 miljoen boete, zal de gedachte zijn.
Ja, treurig. Maar ik zie ook het omgekeerde risico wel: A maakt naar B geld over met vermelding “ten behoeve van Tardigrade-wapentransactie”. Filter daar maar eens de vals positieven mee weg.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Waarschijnlijk is het antwoord daarop dat PayPal al je transacties mag weigeren, random transacties mag weigeren zonder opgaaf van redenen, etc etc.
Ze zijn vast nergens toe verplicht. Hun service aan jou is een gunst die je iedere keer weer moet krijgen of zelfs verdienen.
Of ligt dat juridisch anders? Is een bedrijf als PayPal op de een of andere manier verplicht je opdrachten aan te nemen?
Of komen ze pas in de problemen als het er op lijkt dat ze opdrachtgevers discrimineren op grond van huidskleur ofzo?
Genoeg reden om hier geen bedragen groter dan 100 euro op te hebben staan of hier als bedrijf van afhankelijk te zijn.
Wanneer iemand het op z'n heupen krijgt ben je gewoon je bankrekening kwijt als bedrijf, dat risico wil je toch niet lopen ondanks het laagdrempelige karakter van paypal.
Verder zouden ze natuurlijk ook aan de transacties kunnen zien wat er aan de hand is...
Ik neem aan dat een AR15 0.5 Beowolf meer kost dan een pluche beest..
Alhoewel in Amerika dat geen vanzelfsprekendheid is waar je vuurwapens bij de Amerkaanse Jumbo/AH kunt kopen.
Het enige waar de supermarkt moet hebben is een FFL (Federal Firearms Licensee) en kan online 24 uur per dag 364 dagen per jaar (en telefonisch 17uur per dag 364 dagen per jaar) een National Instant Criminal Background Check System (NICS) check doen en na 3 dagen cooling-down-period kun je je olifant geweer ophalen.
Dat is natuurlijk veel veiliger dan 4 dagen moeten wachten op een pluche beest
Dat is wel heel makkelijk, "tja, reuze jammer". Een naam vertegenwoordigd een waarde en als je daar al jaren onder handelt wordt je zonder goede reden gestraft. Nog erger is dat dit ook bij natuurlijke personen gebeurt. Als je het genoegen hebt om een naam te delen met een (vermeende) terrorist, kan je opeens heel veel moeilijkheden en beperkingen verwachten. Dat is een criminele nalatigheid buiten iedere proportie. Die lijsten zijn ook nog eens ondoorzichtig en je komt er nooit meer vanaf. Dergelijke praktijken kunnen we echt niet accepteren. Je zou nooit gestraft mogen worden voor iets dat je niet gedaan hebt en waar je ook niets aan kunt doen.
Het is inderdaad jammer dat de oorspronkelijke vraag niet beantwoord wordt. Misschien wil Arnoud nog een toevoeging doen?
Ohja 'het is zo makkelijk'. Dan maar wat minder makkelijk hoor. Zaken doen met USA-bedrijven moet je hoe dan ook niet willen. Inclusief e-pay en marktplaats.
https://is.nl
Maar voor mij blijft er iets knagen: het is steeds hetzelfde account en één inspectie van de webwinkel maakt duidelijk dat het woord "tardigrade" daar voor volslagen onschuldige artikelen wordt gebruikt die zo te zien voor prijzen van ongeveer 4 tot 75 dollar verkocht worden. Een filtersysteem voor verdachte transacties van een financiële instelling, zeker een die wereldwijd opereert, met enkele tienduizenden werknemers en een miljardenomzet, zou daar iets mee moeten kunnen.
Verder zoekend, vanuit de link naar de sanctielijst in het antwoord van Arnoud, op waar PayPal eigenlijk aan heeft te voldoen kwam ik hier uit:
https://home.treasury.gov/policy-issues/financial-sanctions/faqs/5
Tardigrade Limited staat op de lijst met Specially Designated Nationals (SDN). Stap 1 stuurt ons dan meteen door naar stap 2.
Je hebt volgens stap 2 een ongeldige match als "the name in your transaction [is] an individual while the name on the sanctions list is a vessel, organization or company (or vice-versa)". Aangezien het hier om de naam van een speelgoedje gaat zou al duidelijk moeten zijn dat die sanctielijsten het over wat anders hebben, maar aangezien strikt genomen niet aan de voorwaarde wordt voldaan doen we dom, beschouwen we het als een geldige match en gaan we door naar stap 3.
Stap 3 vraagt hoeveel van de naam overeenkomt. Als slechts een van twee of meer onderdelen overeenkomt heb je geen geldige match. Van "Tardigrade Limited" matcht "tardigrade", maar het gaat meer om voor- en achternamen, dus laten we bij deze stap juist niet dom toepassen wat er staat en het als een volledige match beschouwen. We gaan door met stap 4.
Stap 4 vraagt om de volledige informatie van de match te vergelijken met de beschikbare informatie van de transactie. De volledige informatie is dat de naam "Tardigrade Limited" is, met een verwijzing naar een adres in Cyprus. Als je onvoldoende informatie hebt in de transactie moet je meer informatie verzamelen zodat je wel kan matchen. Het adres van Archie McPhee is in de VS, niet op Cyprus, en als de betalende partij ook al niet op het betreffende adres op Cyprus gevestigd is zou er geen match moeten zijn. Maar laten we vooral niet nadenken en redeneren dat je een speelgoedje zelf nergens gevestigd is en de controle niet gedaan kan worden. We gaan door met stap 5.
Stap 5 tenslotte vertelt je dat als je "a number of" (al dan niet exacte) overeenkomsten hebt je de hotline moet bellen, en anders geen match hebt. "A number of" betekent "several", meer dan 1. Je kan hier nooit verder komen dan 1, maar we doen bij deze gelegenheid weer dom, dus beschouwen we het als een match en bellen de hotline.
Misschien dat ze bij die hotline de capaciteit uitbreiden voor dit soort onzin in plaats van na een aantal van die telefoontjes en onderzoek de beller erop te wijzen dat Archie McPhee niets met Tardigrade Limieted te maken heeft, en ze het niet op prijs stellen dat hun capaciteit verspild wordt aan zaken die evident niet als verdacht moeten worden beoordeeld, je weet maar nooit.
Mijn indruk is dat PayPal ondanks die hoge boete nog steeds hun afhandeling van verdachte transacties niet op het vereiste niveau heeft gebracht en probeert met een minimum aan inspanning de overheid tevreden te houden ten koste van een paar klanten die toch niet veel opbrengen.
Ohja 'het is zo makkelijk'. Dan maar wat minder makkelijk hoor. Zaken doen met USA-bedrijven moet je hoe dan ook niet willen. Inclusief e-pay en marktplaats.
Het is hetzelfde verhaal als met Youtube. Die krijgen ook aanwijzingen dat ze bepaalde dingen niet moeten publiceren omdat het de regeringen niet bevalt (die roepen dan "nepnieuws!"), en zetten daar ook veel te simpele filters op.
Als je een filmpje maakt wat Covid-19 bagatelliseert of als conspiracy neerzet dan word je van Youtube verwijderd.
Maar als je een filmpje maakt waarin je dat soort idioten aan de kaak stelt dan ook. Want het filter matched allerlei beelden en geluiden die wijzen op conspiracy gedoe, en of je er nou voor of tegen bent dat snapt dat filter niet.
Net als met die tardigrades filters dus.
Dus dat gaan ze dan ook niet doen want dat kost geld en moeite, en die hoeven ze niet te besteden want de klanten lopen toch niet weg.
Als je hier wat tegen wilt doen moet je niet bij die bedrijven zijn maar bij de politici die denken het betalingsverkeer naar terroristen of het verspreiden van "nepnieuws" (is meestal: andere meningen dan hun eigen mening) te kunnen blokkeren met filters.
Dus dat gaan ze dan ook niet doen want dat kost geld en moeite, en die hoeven ze niet te besteden want de klanten lopen toch niet weg.
Je lijkt het als een dogma te beschouwen dat een bedrijf geen sociale verantwoordelijkheid hoeft te nemen en niets anders hoeft te doen dan geld verdienen voor de aandeelhouders, zoals Milton Friedman in 1970 argumenteerde in zijn artikel "The Social Responsibility of Business is to Increase its Profits". Ik ben een van die mensen die dat nooit vanzelfsprekend heeft gevonden en zelfs uitermate schadelijk vindt. Het effect is geweest dat het bedrijfsleven het wel degelijk bij mensen aanwezige geweten uitschakelt voor de bezigheden van het bedrijf, en juist omdat dat tot norm is verheven gaan dit soort dingen mis.
Die gewetenloosheid is geen natuurwet maar een cultureel verschijnsel. Ik heb het geluk gehad lange tijd voor een bedrijf te kunnen werken waar geweten en fatsoen nog wel een rol speelde. Het werd in de neoliberale jaren '90 daardoor als hopeloos ouderwets gezien, en uiteindelijk heeft ook daar management van het gewetenloze slag de zaak overgenomen, maar de typering "hopeloos ouderwets" geeft precies aan dat die totale gewetenloosheid ooit niet vanzelfsprekend was. Als het een cultureel verschijnsel is kan het in de toekomst anders worden dan het nu gaat.
Daardoor zijn verkopers van tardigrade-speeltjes of andere artikelen met artikelnamen die overeenkomen met de namen van personen en bedrijven die in sanctielijsten voorkomen geen minderheid van een soort waar je wettelijke bescherming voor kan verwachten.
Trouwens, als je kijkt naar hoe een financiële instelling verondersteld wordt met zo'n sanctielijst om te gaan (zie 18-09-2020, 11:28 hierboven) vind ik het maar zeer de vraag of PayPal aan de wettelijke eisen voldoet met zijn simplistische filtersysteem. De regels eisen dat er een redelijk intelligente inhoudelijke beoordeling wordt gedaan, en niet alleen maar op een rijtje letters wordt gereageerd met een wel/niet-beslissing.
Dit is dezelfde manier als waarop zo veel markten zijn opengebroken, en je kunt ook zeggen verpest. Maar daar is niet iedereen het mee eens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?