De Computer Fraud and Abuse Act (CFAA) dreigt te worden aangepast en wordt harder voor hackers. In het nieuwe wetsvoorstel van de overheidscommissie die wetteksten ontwerpt, wordt hacken gelijkgesteld aan georganiseerde misdaad en is de wettekst nog vager geworden om breed ingezet te kunnen worden.

Begin dit jaar was er nog een voorstel om de computerfraudewet juist te versoepelen omdat de draconische wet veel te breed is gedefinieerd. Dit voorstel verscheen naar aanleiding van de zelfmoord van internetactivist Aaron Swartz die een celstraf van 35 jaar boven het hoofd hing onder de CFAA.

Hackers gelijkgesteld aan gangsters

De site voor IT-Recht Techdirt schrijft dat de het nieuwe CFAA-voorstel de definitie “racketeering" toevoegt. Deze voor Amerika unieke wet wordt gebruikt om georganiseerde misdaad aan te pakken. Kortgezegd is een racket een criminele opzet waarbij 'klanten' (afpersingsslachtoffers) moeten betalen voor het leveren van een dienst waarbij de dreiging van diezelfde leverancier afkomt. De term is bedacht om beschermingsgeldpraktijken aan te pakken, maar wordt nu ook al gebruikt bij cyberbendes die scareware aanbieden.

Ook de manieren waarop de CFAA kan worden ingezet worden talrijker. Met deze wetswijziging in de hand kan niet alleen het schenden van de CFAA worden aangepakt, maar ook de intentie (of samenzwering) om deze te schenden. Ook hier lijkt de wettekst erop gericht om cyberbendes aan te pakken, maar de wet kan net zo goed worden gebruikt om hacktivisten, white hat hackers en andere overtreders aan te pakken.

Omstreden wetsvoorstel afgestoft

Politieke nieuwssite The Hill kreeg het voorstel in handen dat de rechtscommissie van het Huis van Afgevaardigen heeft opgesteld. Het voorstel moet volgens Techdirt in april door de Amerikaanse Tweede Kamer worden gedrukt, samen met een serie andere cyberwetvoorstellen.

Orin Kerr, Recht-professor aan de University of Washington, meldt dat de bewoording van het voorstel een afgestofte versie uit 2011 is, waar toentertijd al veel kritiek op was. Hij vertelt op zijn blog dat de bewoording zo vaag is dat iemand die liegt over zijn leeftijd op een datingsite of iemand die de gebruikersvoorwaarden van een overheidssite schendt zich schuldig maakt aan een zware misdaad.

Ongeoorloofde toegang breder

In het voorstel eerder dit jaar om de CFAA te versoepelen wordt de definitie van 'ongeoorloofde toegang' verfijnd, zodat een aantal hackzaken niet meer onder de wet vallen, zoals het aanpassen van een IP-adres om toegang te krijgen. Maar in dit nieuwe voorstel wordt de ongeoorloofde toegang juist uitgebreid, zodat het zelfs van toepassing kan zijn op toegang waar de gebruiker wel toestemming voor heeft.

“In het kort is dit een stap terug, geen stap vooruit", schrijft Kerr op basis van het voorstel zoals die er nu ligt. “Dit wetsvoorstel geeft het ministerie van justitie wat het wil en past de CFAA niet aan op een manier die het zou versmallen."