Ik snap niet wat er zo lastig is aan de melding troubleshooten het gaat om een Adobe gegenereerde handtekening en de publick certificate in fdf format is blijkbaar niet toegevoegd op de locatie waar het document werdt geopent.

Als er in plaats van een handtekening gevraagd werdt om het certificaat te sturen was er niks aan de hand geweest. Je mag toch wel aannemen dat een organisatie als DeGiro de kennis in huis heeft om dit direct te begrijpen het is niet alsof adobe nu een onbekende partij is als het op digital signatures aangaat.

Dus wanneer je de techniek niet op orde hebt, is de klant het bokje. Fijn.

Handgescheven accepteren ze wel, hoe krom wil je het hebben...

Ik begrijp dat van het Kifid een financiële instelling een rammelende infrastructuur voor electronische handtekeningen mag hebben en dat daaraan geen aansprakelijkheid jegens gedupeerde consumenten verbonden is.

Lekker makkelijk... check de handtekening offline, en je hebt een vrijwaring om nooit klant transacties uit te hoeven voeren die je onhandig vindt... Die bijvoorbeeld geld kosten.
Of je zet een block op de signature revocation list server...

Nu kan dus door onkunde of onwil ten alle tijden een financiele dienstverlener weigeren een transactie uit te voeren die voor hen financieel nadelig kan zijn.

Zeg een aandeelhouder wil zijn aandelen verkopen, maar de houder ervan heeft nog een looptijd van 1 maand op hun transactie lopen, zouden ze deze moeten opbreken, boete betalen en dan het aandeel verkopen in opdracht van hun klant, nu kunnen de boel traineren totdat hun periode afloopt, en lekker geen boete betalen en volle bak winst opstrijken... En de klant z;n aandeel is misschien nog minder waard geworden ook, risico klant... terwijl de broker zijn werk niet doet...

Echt, rechters, en beslissers zijn de grootste digibeten en kunnen gewoon hun beslissingen niet overzien... ik zie nog liever kinderen met breinaalden in een kerncentrale dan uitspraken van rechters en financiele waakhonden.

Dat is inderdaad een interessante vraag. Ligt het daar inderdaad aan, dan zou de klant dat aspect kunnen aanvechten en stellen dat hij hierdoor is benadeeld. Maar uit het artikel kan ik niet opmaken dat het aan een rammelende infra bij DeGiro lag....

Wat een rare conclusie trek je .

In de hele zaak bij het Kifid is niet vastgesteld _waar_ het probleem zat waardoor de Giro de handtekening niet kon valideren - en de consument z'n programma wel meldde dat het ondertekend was.


Jij denkt dat de boel rammelde bij de Giro.

Wie zegt dat de klager geen chain naar een dubieuze of ingetrokken root CA (self signed ? eigen AD server signed ?) gebruikte ?
De ene heeft een proggie dat zegt "valide" en de andere een proggie dat zegt "kan niet valideren" .

Het gaat vast ooit een echt(er) probleem worden , welke CA is 'vereist' om valide te ondertekenen, en welke CA moet een instelling accepteren, dan wel mag een instelling weigeren als trusted.

Browsers en OSen hebben een behoorlijk gemeenschappelijke overlap , maar er zitten onderling wat verschillen welke root CA 's trusted zijn.
Het lijkt aannemelijk dat de set van CAs die "de wereld" accepteert voor TLS ook wel goed genoeg zijn voor handtekeningen, maar wie weet gaat dat zich toch specialiseren.
Het equivalent van 'domain validated' is toch wat dunnetjes voor het overboeken van volledige aandelen portefeuilles.


Jammer dat in deze zaak niet iets harder gezocht is naar de technische oorzaak van het verschil, we hebben nu alleen een screenshot en een melding van een tegen-screenshot .

Volgens de PDF waarnaar verwezen wordt heeft de Geschillencommissie niet geoordeeld, maar een niet-bindend advies uitgebracht.

Zie punt 3.3, laatste zin van de PDF: "De commissie doetdaarom uitspraak in de vorm van een niet-bindend advies."

Dit artikel mist deze nuance in de eerste zin door te stellen dat Kifid heeft geoordeeld. "DeGiro mocht een elektronische handtekening [...] weigeren, zo heeft het financiële klachteninstituut Kifid geoordeeld"

Wij krijgen helaas ook met enige regelmaat digitaal ondertekende documenten. Die van de Belgen lijken altijd goed te gaan,
Maar bij veel zuid Europeanen lijkt het fout te gaan doordat de certificaat uitgever niet bekend is binnen de systemen. Dat hele eIDAS klinkt leuk, maar rammelt aan alle kanten. Het is een Europees feestje dat nog niet echt lijkt te zijn doorgevoerd door enkele Amerikaanse software bouwers.

Dat is totaal niet duidelijk.

Uit niets in de uitspraak blijkt dat DeGiro de validiteit van de digitale handtekening niet kón vaststellen. Een tweetal screenshots (1 daarvan uit Windows), beide geheel zonder context (laat staan dat de geldigheid van die context wordt aangetoond), zegt niets. Dit soort nietszeggend (en doodeenvoudig te vervalsen) "bewijsmateriaal" opnemen in een uitspraak, terwijl het over lastig te vervalsen digitale certificaten gaat, is nog minder dan amateuristisch.

De kernvraag hier moet zijn of de certificaatketen uitkomt op een rootcertificaat dat binnen het eIDAS-stelsel als vertrouwd moet worden beschouwd. Als dat niet zo is, liegt de klager; anders belazert DeGiro de boel.

Sowieso had het KifiD dus moeten weigeren om, zonder inzage te hebben in de (voor de handtekening gebruikte) certificaat-keten plus een betrouwbare lijst van eIDAS-conforme certificaatuitgevers [*], uitspraak te doen. Door dat wél te doen, laat KifiD (voor de zoveelste keer) zien de financiële partij op hun blauwe ogen te geloven (en de klager niet).

Sterker, het feit dat DeGiro onterecht stelde dat zij een eIDAS-conforme digitale handtekening mocht weigeren, had alle allarmbellen bij het KifiD af moeten laten gaan: had DeGiro, ten tijde van het valideren van de betrokken digitale handtekening, überhaupt de juiste infrastructuur in huis om elke eIDAS-conforme digitale handtekening te kunnen valideren?

Bij een eerlijk proces had het KifiD van DeGiro geëist om dát aan te tonen.

Beste mensen: ga bij geschillen nooit naar het -niet-onafhankelijke- KifiD, maar stap meteen naar een echte onafhankelijke rechter.

[*] Zo te zien begint dat hier, bij de LOTL (List of Trusted Lists) met zelfs ingebedde X.509 certificaten: https://ec.europa.eu/tools/lotl/eu-lotl.xml

Als er en geschillen commissie bestaat met een regelement en een overeenkomst dat de geschillen commissie van toepassing is, dan zal elke rechter zich onbevoegd verklaren.
( internationale wetgeving).
Dus kifid is in eerste instantie de aangewezen instantie.

Ga dan in ieder geval voor een niet-bindende uitspraak anders is de gang naar de rechter afgesneden https://www.kifid.nl/bindend-niet-bindend/.

Betekent dat dan niet gewoon dat jullie nog ontbrekende certificaat uitgevers moeten inlezen in je systemen?
Dat kan de Amerikanen toch niet verweten worden?
Al dit soort systemen werken op basis van een keten van vertrouwen. Je kunt denken "waarom werkt dat niet automatisch" maar dan is de volgende opmerking "ik vertrouw de Russen helemaal niet en toch staan ze bij de vertrouwde uitgevers!".
Kortom hier zit altijd een vorm van beheer op. Wat zorgvuldig moet gebeuren, want als je de verkeerde vertrouwde uitgever invoert dan is je hele systeem niet meer te vertrouwen. Dat moet dus niet bij een secretaresse liggen maar bij een manager of controller ofzo.

Bron?

En als zo'n bron bestaat, staan daar dan eisen in m.b.t. de onafhankelijkheid van zo'n geschillencommissie, of mogen slagers hun eigen vlees keuren?

Het KifiD heeft, bij herhaling, onvoldoende doortastend en/of niet objectief/rechtvaardig gehandeld bij haar uitspraken.

Hou je toch bij je vak.

Bij een civiel proces gaat de rechter helemaal niks zitten eisen aan één van de procespartijen.
De rechter kijkt naar wat de procespartijen inbrengen - en als ze dat verklooien kunnen ze hun zaak verliezen ook al zouden ze objectief "gelijk" kunnen hebben.
(als dat nieuw voor je is - laat dan advies in juridische zaken maar achterwege en vraag een advocaat als je eens een conflict hebt wat richting rechter gaat)


"Geef mij de feiten , dan geef ik u het recht (da mihi facta dabo tibi ius)"

Civiele vonnissen staan dan ook vol met "gesteld en niet weersproken is..." - (dus de ene partij heeft iets gesteld, en de andere is daar niet tegenin gegaan) . Daarna werkt de rechter met dat feit als vaststaand .

Verder is de basisregel - wie eist, bewijst .
(tenzij er een bijzondere rechtsregel of redelijkheid/billijkheid is die omkering van de bewijslast vraagt )

Het is dus aan de eiser die stelt een geldige opdracht gegeven te hebben om dat te bewijzen .
De screenshot van de eiser is erg matig als 'bewijs' - en dus 'weersproken' door de (ook matige) screenshot van De Giro .
Mogelijk dat (als het een soort van consumenten zaak is - dat de bewijslast hier bij de gedaagde gelegd zou worden - dus bewijzen dat de handtekening ongeldig/niet controleerbaar is ) - maar goed, dat zou dan hier hetzelfde gegaan zijn , twee 'even sterke' "bewijsmiddelen" .

Wat - in een civiele zaak - had kunnen gebeuren daarna (en waarschijnlijk wel gebeurd zou zijn) is dat er -door de rechtbank- een deskundige benoemd wordt die bij botsende stellingen dan (hopelijk) beter kan aangeven wat een feit (of gevolg, of opgetreden schade ) is, of wat "normaal voor de branche" is .
De procespartijen kunnen ook zelf hun punt ondersteunen met een rapport van een deskundige - wat betwist kan worden door de (deskundige van) de tegenpartij.

Het enige wat me ietwat verbaasd is dat De Giro , ook toen het een echte zaak begon te worden , niet wat verder gezocht heeft (of heeft laten zoeken) naar waarom die handtekening niet valideerde.
Er zouden daar toch ergens in de IT organisatie mensen moeten zitten die dat echt kunnen uitzoeken en verder komen dan een screenshot van de een of andere reader . En - zouden ze ontdekt hebben dat ze ongelijk hadden - de zaak niet verder laten voorkomen . Of die expertise was er niet, of de klachten+ juridische afdeling ging de zaak in met niks meer dan een screenshot .

Ik vind het een bedenkelijke uitspraak. Kifid constateert dat het een gekwalificeerde elektronische handtekening is in eIDAS-termen, wat wil zeggen dat een trusted third party een certificaat heeft afgegeven. Vervolgens wordt niet verder gekeken dan twee screenshots: die van DeGiro die laat zien dat de handtekening niet geaccepteerd wordt, en die van de klant die aangeeft dat het een geldige handtekening is conform EU-verordening 910/2014 — dat is eIDAS.

De vraag is hier of het niet herkennen van de CA door de software van DeGiro terecht is of niet. De software van de cliënt vindt in ieder geval dat de handtekening wél geldig is, de software van DeGiro kent de CA niet. De EU heeft een "Trusted List Browser" waarin je op kan zoeken of een CA voor eIDAS geaccepteerd is:

https://eidas.ec.europa.eu/efda/tl-browser/

Als DeGiro zijn software goed heeft ingericht is dat de lijst van CA's die gebruikt wordt. Alleen heeft DeGiro niet aangevoerd dat ze de handtekening hebben geweigerd omdat het certificaat van een niet door de EU vertrouwde CA komt maar alleen een screenshot van de melding over de onbekende CA laten zien. Dat is geen argument, dat is "computer says no". Dat is beneden de maat voor welke financiële instelling dan ook. DeGiro had degelijk moeten onderbouwen waarom het die handtekening niet accepteert, of hem moeten accepteren. Door dit niveau van incompetentie te accepteren maakt Kifid duidelijk zelf op dit vlak net zo incompetent te zijn. Heel kwalijk.

Het dilemma hier is het extreem kleine oppervlak van de intersectie in het Venn-diagram van enerzijds bij dit soort zaken betrokken juristen en anderzijds mensen die verstand hebben van PKI, X.509 certificaten, asymetrische encryptie, cryptografische hashes en digitale handtekeningen.

Ik begrijp jouw kritiek: IANAL, maar ik snap m.i. voldoende van PKI e.d. om mijn mening te mogen geven, vooral op een site die niet "rechtspraak.nl" o.i.d. heet, maar security.nl.

Als het KifiD een onafhankelijke en objectieve partij met verstand van zaken (PKI en haar bouwstenen in dit geval) zou zijn, of -zo nodig- ter zake deskundigen zou uitnodigen, zou zij, als geschillencommissie, de klus ongetwijfeld beter kunnen klaren dan een "echte rechter".

Daar ben ik het volstrekt mee eens, en dank voor die link!

Natuurlijk, maar mijn kritiek ging over je juridische advies/mening en de misconceptie dat een 'echte rechter' één van de procespartijen opgedragen zou hebben om hun bewijsvoering anders te doen .
Je hebt expertise op gebied van PKI - maar duidelijk weinig op gebied van procesvoering.

De rechtswereld is geen zaakexpert - ook niet op bijvoorbeeld medisch vlak, maar moet toch oordelen over bijvoorbeeld letselschade en hoe erg die verwijtbaar is aan het handelen van de aangeklaagde . Of over kapotte of slecht gemaakte dingen en hoe verwijtbaar dat is aan één partij.


Een geschillencommissie neemt min of meer een voorschot op wat een rechter zou oordelen - en neemt dezelfde houding aan.
Kijken naar ingebrachte feiten, contracten en verantwoordelijkheden - en een uitspraak doen.
Je hebt een wensbeeld van 'beter doen' (of de sector sturen naar iets wat jij gewenst acht) - maar feitelijk wil een geschillencommissie _hetzelfde_ doen als een rechter . Ze zijn er niet voor of als inhoudelijke detective.

Ik gok dat als het (financiele) belang hier groter geweest zou zijn , inderdaad iemand (en eventueel kifid , cq rechter) wel een deskundigen rapport gevraagd zou hebben omdat het hele dispuut draait om de vraag 'geldig/niet controleerbaar' .
Blijft een Salomons oordeel als er (nog) geen consensus is wat nu precies een geldige elektronische handtekening vormt , en wat acceptabele CAs zijn of tempo van software updates/CA adaptatie nog geen 'algemeen verwacht mag worden' norm kent.
Als het klip en klaar was - 'handtekening' door de klager met een eigen root CA, cq handtekening van een zeer goed established CA maar niet valideerbaar door erg achterhaalde software/CA store bij gedaagde is het wel simpel - maar echte grensgevallen zijn wel voorstelbaar in dit domein.


Ik ben best nieuwsgierig naar de werkelijke technische achtergrond - en hoe de bal zou rollen in grensgevallen zoals twijfelachtige CAs .
Maar ik kan iedereen aanbevelen om een realistisch beeld te hebben van hoe de rest van de maatschappij _werkt_ , en dat niet te baseren op hoe je (of ik) als IT/technerd vinden dat het zou moeten zijn.

Het blijft natuurlijk gewoon een ordinaire geschillencommissie. Of een veredelde klantenservice.

Als een rechter zelfs maar de schijn van onafhankelijkheid zou kunnen wekken, dan kun je die wraken. En dan krijg je een andere. Waarna je ook nog in hoger beroep kan gaan.

Met zulke geschillencommissies kan dat helemaal niet. Als die zin hebben om je met een kluitje in het riet te sturen, dan sturen ze je gewoon met een kluitje het riet in. Met een lekker belangrijk zijn we logo erboven. Daar trappen de meesten toch wel in.

Wat een ongelofelijke larie.

Om te voorkómen dat iedereen "het recht in eigen hand neemt", hebben we, als beschaafd land, (dikbetaalde) rechters en geschillencommissies aangesteld. Als zij niet rechtvaardig "rechtspreken" (hun primaire taak) is dat een lose-lose situatie voor de maatschappij. Hoe vaker zij falen (door corruptie en/of onkunde), hoe minder vertrouwen burgers in de rechtspraak houden en hoe vaker de laatstgenoemden het recht in eigen hand zullen nemen (en/of al beginnen met de boel te belazeren; bedrijven en overheden komen daar immers "ook mee weg"). Vroeger of later hebben die rechters en geschillencommissies geen bestaansrecht meer.

Voor het niet-onafhankelijke KifiD is, m.i., dat moment allang aangebroken.

Dat rechtvaardig uitspreken is NIET gelijk met jouw onderbuikgevoel.

De klant moet dus gewoon met betere bewijzen afkomen en opnieuw een procedure starten. Dat lijkt me een logisch besluit.