«Code is Law» er et prinsipp som blir heftig diskutert i det internasjonale kryptomiljøet. Spørsmålet er hvem som er ansvarlig ved feil bruk eller utnyttelse av programvare som ligger åpent og kan brukes av hvem som helst, men som leder til økonomisk tap?
Mads Ribe is an associated partner and leads EY's focus on Digital Law & AI in Norway. Mads is a leading business lawyer specializing in new technologies such as blockchain, digital assets, and artificial intelligence. He has assisted key players in the Norwegian blockchain community, including growth companies and more established players.
Norske software-selskaper innen DeFi går en uforutsigbar tid i møte med implementering av MiCA, skriver advokat Mads Ribe i en ny bloggpost. Temaer har blitt aktualisert i forbindelse med en fransk rettsavgjørelse, og som Mads Ribe kommenterer i denne bloggposten.
Er visse former for hacking tilsvarende som å utnytte en spilleautomat til å få ut ekstra gevinst? En fransk domstol slo nettopp dette fast.
I desember behandlet en fransk domstol en sak som har skapt stor kontrovers i kryptomiljøet. Saken handlet om to brødre som hacket Platypus Finance, en DeFi (desentralisert finans)-protokoll. Ved å utnytte en svakhet i koden klarte brødrene å få ut 8,5 millioner USD. De forsvarte seg med «Code is Law»-prinsippet, som tilsier at utnyttelse av en svakhet i koden ikke er stjeling, men en lovlig utnyttelse av koden til sin fordel. Det fikk de medhold for.
«Code is Law» er et prinsipp som blir heftig diskutert i det internasjonale kryptomiljøet. Uttrykket har sammenheng med bransjens mange desentraliserte protokoller, der hvem som helst kan bruke softwareprogrammer som ligger åpent ute, til å utføre ulike kryptotransaksjoner. En av de første og mest kjente protokollene er MakerDAO. Her kan hvem som helst bruke deres open source software / åpne programvare til å ta opp lån og gi pantesikkerhet i kryptovaluta. Programmet er laget av et sett med smarte kontrakter, dvs. automatisk kodede handlinger (som vanligvis reguleres i en avtale), som overfører, gir lån, pantsetter og låser opp kryptovaluta avhengig av brukeren.
Selv om MakerDAO har laget programmet, har de avvist juridisk ansvar for bruk av det. De begrunner det med at det ligger åpent og kan brukes av hvem som helst. Spørsmålet blir hvem som er ansvarlig ved feil bruk eller utnyttelse av programvaren som leder til økonomisk tap hos en bruker?
Det var dette de franske brødrene gjorde ved å utnytte en svakhet i koden til en åpen programvare. «Code is Law»-prinsippet vil i en slik sammenheng tilsi at koden kan brukes fritt, men på brukerens risiko. Er det en svakhet i koden som kan utnyttes, må brukerne akseptere dette uten å kunne kreve erstatning fra hackere. Koden utfører de handlinger som er mulig og på brukerens risiko. Koden er dermed det sentrale rammeverket for handlingen og ikke annen lovgivning – «kode er lov».
Mange er imot dette, og mener all programvare og utnyttelse av denne ikke opererer i et vakuum utenfor vanlig lovgivning. Hacking er å stjele og må derfor også likestilles med stjeling, både strafferettslig og erstatningsrettslig. Dette vil kunne innebære at utviklerne av koden, selv om den ligger åpent ute og kan brukes av enhver, vil kunne være ansvarlig for både svakheter og bruk.
Hensynet til å motvirke misbruk og beskyttelse av en uvitende bruker som ikke nødvendigvis forstår koden og risikoen ved dens bruk, må derfor veies opp mot forutsigbarhet for den som har utviklet og tilgjengeliggjort koden til fordel for markedet.
Den franske domstolen sammenlignet utnyttelse av kode i åpen programvare med utnyttelse av en spilleautomat. Dommen er basert på fransk «hacking-lov», som tilsynelatende krever at hackingen innebærer en svikefull handling. Det var ikke tilfellet her, fordi brødrene hadde brukt programvaren på en «lovlig» måte uten å endre koden, lure til seg passord eller svindle noen i ordets rette forstand.
Kritikerne av dommen mener at loven ikke passet på saken, i det koden som ligger i smarte kontrakter er åpen, mens hacking forutsetter uautorisert adgang. Man kan heller ikke lure en åpent tilgjengelig smart kontrakt, ettersom dette ikke er eller tilsynelatende kontrolleres eller eies av en juridisk person. En utnyttelse av koden vil muligens innebære brudd på prinsippet om lojalitet i kontraktsforhold, et sivilrettslig prinsipp, som kan gi erstatning under en kontrakt mellom to parter. Domstolen mente det i alle tilfeller ikke var svindel i strafferettslig forstand.
Dette er også spørsmålet i en sak som verserer for engelske domstoler (Tulip Trading Limited v van der Laan and Others [2023] EWCA Civ 83). Her har den påståtte Bitcoin-skaperen Craig S. Wright saksøkt software-utviklere av ulike versjoner av Bitcoin-blokkjeden i England. Bakgrunnen er at Wright ble frastjålet sine private nøkler til sin digitale lommebok i et hacker-angrep med Bitcoin av verdi på over USD 4 milliarder på tidspunktet søksmålet ble igangsatt (som trolig er mye høyere nå gitt den siste tids utvikling i Bitcoin-prisen). Wrigth har saksøkt utviklere av Bitcoin-blokkjeden med krav om å endre kildekoden slik at Wrigth får tilbake kontrollen over de private nøklene. Ingen av utviklerne hører til i England og utviklerne hevder at Bitcoin-blokkjeden er desentralisert uten å være hjemmehørende i ett spesifikt land. Saken har likevel ikke blitt avvist ved første hinder da Court of Appeal har funnet det realistisk at engelske domstoler har jurisdiksjon. Dette spørsmålet blir nå gjenstand for muntlige forhandlinger i løpet av 2024 og vil få store ringvirkninger for desentraliserte blokkjeder og digitale verdier om engelske domstoler hevder jurisdiksjon og tar den underliggende saken til behandling. Om Craig S. Wright vinner frem med søksmålet hevder enkelte at dette kan være starten på kollaps i verdien av digitale verdier og spesielt Bitcoin.
Tiden vil vise om den franske domstolens sammenligning med en spilleautomat holder og hvordan norske domstoler vil forholde seg til lignende problemstillinger, som unektelig kommer. Selv om dommen ble behandlet av en fransk domstol i første instans, som generelt har lav rettskildemessig verdi for alle andre domstoler (også i Frankrike), er den muligens den første av sitt slag og fremstår som et eksempel for hvordan slike saker kan håndteres også i fremtiden.
Likevel er det verdt å merke seg at saken har en strafferettslig karakter og en sivilrettslig karakter. Selv om det ikke foreligger svindel, er spørsmålet om en smart kontrakt, dvs. en avtale utført ved kode, må forholde seg til vanlige kontraktsrettslige prinsipper. I så fall vil bl.a. intensjonen bak handlingen kunne ha betydning. Samtidig er det ikke alltid det er mulig å identifisere en kontraktsrettslig motpart i en smart kontrakt og det kan være vanskelig å definere hvilken jurisdiksjon kontrakten er utført i, når den ligger åpent ute i «skyen». Alternativet er derfor at koden anses å være «loven» i den forstand at det kun er koden, og hvordan den kan brukes eller misbrukes, som betyr noe for den rettslige vurderingen.
Uansett vil diskusjonen fortsatt rase i det globale markedet for desentralisert finans. Det er ikke siste gang domstoler i Europa møtes med «Code is Law»-argumentasjon ved utnyttelse av svakheter i koden. En kan derfor spørre seg om desentralisert finans er for alle eller kun for de som fullt ut forstår koden og kompleksiteten som følger med.
Kaupr sin bloggpost er åpen for innlegg, analyser og debatt på norsk, dansk eller svensk, og i noen tilfeller også på engelsk. Send din artikkel eller idé til morten@kaupr.io.