Hoge Raad arrest over kaartlezers

De Hoge Raad heeft op 17 december 2019 een arrest (ECLI:NL:HR:2019:1973) gewezen over de vraag of een kaartlezer een geautomatiseerd werk (artikel 80sexies Sr) is. De zaak ging over een vorm van fraude waarbij gemanipuleerde ‘e.dentifiers’ in bankshops van een bank werden geplaatst. Daarmee werden vervolgens valse betaalpassen vervaardigd, waarmee in totaal meer dan € 1 miljoen contant is opgenomen bij pinautomaten.

De Hoge Raad overweegt herhaalt de relevante overwegingen uit ECLI:NL:HR:2013:BY9718 met betrekking tot het (oude) begrip ‘geautomatiseerd werk’ in artikel 80sexies Sr. De Hoge Raad overweegt dat de kaartlezer een geautomatiseerd werk is, omdat het een apparaat is die  authenticatie en uitwisseling van mede op rekeninggegevens en pincodes gebaseerde (challenge- en response)cijfercodes met het Internet Bankieren-systeem van de bank mogelijk maakt. Dat vindt plaats ten behoeve van digitale bancaire transacties. Zij maken daarmee deel uit van een systeem waarbij opslag, verwerking en overdracht van gegevens plaatsvindt (r.o. 3.5.3).

Oude vs nieuwe definitie geautomatiseerd werk

Het arrest gaat nog over de oude definitie van een geautomatiseerd werk. Het begrip is door de inwerkingtreding van de Wet computercriminaliteit III gewijzigd in:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken”.

Met dit nieuwe begrip wordt aangesloten uit de definitie uit het Cybercrimeverdrag. Hieronder vallen volgens de toelichting in ieder geval apparaten die gegevens verwerken en in verbinding staan met een netwerk. Gezien de verwerking van gegevens valt mijns inziens een kaartlezer ook onder dit nieuwe begrip van een geautomatiseerd werk.

Aftappen en opnemen van gegevens

Over aftappen en opnemen in de zin artikel 139c Sr overweegt de Hoge Raad dat uit de wetsgeschiedenis volgt dat de in art. 139c Sr opgenomen termen ‘aftapt’ en ‘opneemt’ zien op het onderscheppen en vastleggen van stromende gegevens, dat wil zeggen gegevens die in een proces zijn van verwerking en overdracht. Het vastleggen van opgeslagen gegevens valt niet aan te merken als aftappen of opnemen in de zin van art. 139c Sr, maar als het ‘overnemen’ van gegevens (r.o. 3.6.2).

De Hoge Raad gaat mee in het oordeel van het Hof dat sprake is van ‘afgetapte en opgenomen gegevens’, omdat actief werd ingegrepen tijdens het ‘vraag- en antwoordspel van de identificatiekaartlezer’ tijdens internetbankieren. Daarbij worden gegevens via de chip opgevraagd, die in reactie daarop worden overgedragen en via een PIN code worden onderschept (r.o. 3.6.3).

Livestream kan afbeelding zijn in de zin van art. 240b Sr

Op 10 december 2019 heeft de rechtbank West-Brabant-Zeeland een 66-jarige verdachte veroordeeld (ECLI:NL:RBZWB:2019:5546) tot drie jaar gevangenisstraf en TBS voor ontucht en de vervaardiging en verspreiding van kinderporno.

De “surrogaat opa” won het vertrouwen van een gezin droeg als oppas zorg voor een 12-jarige meisje. Met dit meisje heeft hij ontucht gepleegd en heeft hij beeldmateriaal vervaardigd. In 2000 is verdachte in Nederland ook al veroordeeld tot 30 maanden gevangenisstraf waarvan zes maanden voorwaardelijk voor soortgelijke feiten. In 2012 is verdachte in België veroordeeld tot 6 jaar gevangenisstraf voor verkrachting en aanranding van een minderjarige.

Het is een zaak met dramatische en trieste feiten, maar juridisch gezien wordt een belangrijke vraag gesteld. De verdachte heeft met zijn eigen telefoon en onder zijn eigen account een livestream van seksuele activiteiten en handelingen van het slachtoffer uitgezonden.

De rechtbank overweegt dat sprake is van een kinderpornografische ‘afbeelding’ in de in zin art. 240b Sr, omdat via een livestream mogelijk wordt gemaakt dat anderen een weergave van de werkelijke seksuele gedragingen van kinderen kunnen zien door middel van streamen en volgen. De verdediging voert aan dat geen sprake is van een afbeelding in de zin van 240 Sr, omdat geen sprake is van het vereiste van ‘enige duurzaamheid’. De rechtbank gaat daar niet in mee.

De rechtbank overweegt dat ‘een afbeelding in de zin van genoemd artikel is het weergeven van een werkelijkheid door middel van een technisch hulpmiddel waardoor deze werkelijkheid door (veel) anderen door middel van gebruik van techniek bekeken kan worden. Gelet op het doel en de strekking van genoemd artikel is ‘enige duurzaamheid’ geen vereiste om te kunnen spreken van een afbeelding in de zin van dit artikel’.

Veroordeling voor verspreiding kinderporno via GigaTribe

Op 11 december 2019 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2019:11285) tot 12 maanden gevangenisstraf voor de verspreiding van kinderporno via het peer-to-peer programma GigaTribe.

Net als in ECLI:NL:RBNNE:2017:2882 (zie ook mijn annotatie hierover) werd de zaak opgestart nadat Zwitserse autoriteiten via een undercover actie het account van een persoon hadden overgenomen en daarmee met de Nederlandse verdachte communiceerden over kinderporno. Tijdens het chatgesprek met de verdachte ontvingen de Zwitserse autoriteiten het wachtwoord van zijn versleutelde folder, waarin kinderporno bleek te staan. De Zwitserse ‘Cybercrime Coordination Unit’ deelden de informatie met de Nederlandse autoriteiten, die een onderzoek startten.

De verdediging voerde aan dat het Openbaar Ministerie niet-ontvankelijk moet worden verklaard voor het gebruik van bewijsmateriaal door de undercover acties van de Zwitserse autoriteiten.

Volgens het hof is er geen sprake van enig vormverzuim. Tijdens de doorzoeking van de woning van een verdachte is op een computer en USB-stick van de verdachte 1048 foto’s en 409 films aangetroffen met kinderpornografisch materiaal. Bovendien stonden op de laptop van de verdachte GigaTribe-chatgesprekken.

Mooi is ook de volgende overweging van het hof: ‘dat de verdachte de gebruiker is geweest van het account leidt het hof af uit de omstandigheid dat nagenoeg hetzelfde wachtwoord van dit account, staat vermeld op de onderlegger die de verbalisanten onder het toetsenbord van de verdachte hebben aangetroffen’. Ook kon het IP-adres worden teruggeleid tot de verdachte.

Veroordeling voor dreiging high school shooting via YouTube

Het hof Amsterdam heeft op 10 december 2019 een verdachte vrijgesproken (ECLI:NL:GHAMS:2019:461) van poging tot bedreiging. De minderjarige verdachte werd verweten op YouTube de volgende tekst te plaatsen:

“Fuck you man just when I was planning my school shooting you came out with motivational bs (this is actually no joke)”.

Het hof overweegt in hun vrijspraak dat in welke context de verdachte zijn bericht heeft geplaatst, namelijk op een groepspagina van een website en als reactie op een bericht van de beheerder. Niet is komen vast te staan dat er een potentiële groep bedreigden op de hoogte zijn geraakt van de bedreiging.

Daarbij komt dat de woorden in het bericht, mede gelet op de context waarin ze zijn gebruikt, een onvoldoende specifieke inhoud en een onvoldoende duidelijk dreigende strekking hebben om een strafbare bedreiging op te leveren. De geplaatste tekst bevat ook geen enkele verwijzing naar een bestaande school, noch naar een locatie waar een dergelijke shooting zou plaatsvinden.

Het hof is daarom van oordeel dat onvoldoende grond bestaat voor de conclusie dat door het bericht redelijke vrees kon ontstaan dat personen het leven zouden kunnen verliezen, zodat ook om die reden van een voltooide bedreiging geen sprake kon zijn. Het bericht kan om dezelfde redenen evenmin worden aangemerkt als een begin van uitvoering om een dergelijke vrees te doen ontstaan, zodat ook van een poging tot bedreiging geen sprake is.

Gevangenisstraffen voor grootschalige phishing

De rechtbank Midden-Nederland heeft op 11 december 2019 verschillende verdachten veroordeeld (o.a. ECLI:NL:RBMNE:2019:5885 t/m ECLI:NL:RBMNE:2019:5898) voor grootschalige phishing. Sommige verdachten kregen een gevangenisstraf opgelegd van 2 en 3 jaar. Ook moesten sommige verdachten geleden schade terugbetalen van rond de 150.000 euro.

De phishing ging in zijn werking door mails te sturen naar mensen die zogenaamd van banken afkomstig zijn. Vervolgens worden de rekeninghouders doorgestuurd naar websites die sprekend op die van de banken lijken. Later verstuurde de verdachte phishingmails waarin stond dat de rekeninghouder een nieuwe bankpas aan moest vragen en zijn inloggegevens moest invoeren.

De gegevens die de gedupeerden op de nepwebsite achter lieten, kwamen terecht in een mailbox waar de verdachte de inloggegevens van had. Op die manier konden de verdachten bij hun inlog- en bankgegevens en konden mededaders geld opnemen bij pinautomaten. De verdachten bestelden daarnaast spullen bij webwinkels en haalden de goederen vervolgens bij afhaalpunten op.

De verdachten maakten zich volgens de rechtbank, met ieder zijn eigen rol, op een uitgekookte manier schuldig aan meerdere diefstallen, oplichting, computervredebreuk (art. 138ab Sr), het ter beschikking stellen van software om computervredebreuk te plegen (art. 139d jo art. 138 ab Sr) en witwassen.