Auteur jjoerlemans

Veroordeling voor banking malware op mobiele telefoons (perkele) en witwassen

jjoerlemans Een reactie plaatsen

Op 24 januari 2017 heeft het Hof Den Haag zijn enkele verdachten veroordeeld (ECLI:NL:GHDHA:2017:81) voor het gebruik van banking malware op computers en mobiele telefoons van rekeninghouders.

Na besmetting met de malware werden bankklanten tijdens het internetbankieren door een nepscherm, mogelijk gemaakt met de zogenaamde ‘webinject’-techniek, ertoe bewogen een transactie uit te voeren. Met behulp van kwaadaardige software van het type ‘Perkele’ werden vervolgens de benodigde TAN-codes van Android telefoons van ING klanten afgevangen. TAN-codes worden gebruikt als dubbele authenticatiemethode en zijn noodzakelijk om de transactie uit te voeren.

Vervolgens werden de bedragen vanaf de betreffende bankrekeningen overgeboekt naar de bankrekeningen van money mules, die daar een bepaalde vergoeding voor kregen. Het geld werd daarna zeer snel gepind of omgezet in andere betaalmiddelen, goederen, of direct of indirect overgemaakt naar het buitenland. In totaal is ongeveer €13.000,- euro aan bitcoins gekocht met geld dat was overgemaakt met de frauduleuze betalingen. Een verdachte maakte gebruik van een gehackt computernetwerk van een garagebedrijf om op deze manier zijn sporen zoveel mogelijk te verhullen.

De verdachten zijn veroordeeld voor computervredebreuk, diefstal met valse sleutel vanaf bankrekeningen, gewoontewitwassen, oplichting en valsheid in geschrifte. De verdachten hebben de stevige onvoorwaardelijke gevangenisstraf van 4,5 jaar opgelegd gekregen. De schadevergoeding aan de betrokken bank heeft echter geen stand gehouden.

Vorderen van gegevens in de cloud

jjoerlemans Een reactie plaatsen

Citeertitel: Rb. Overijssel, 1 februari 2017, ECLI:NL:RBOVE:2017:417, Computerrecht 2017/52, m.nt. J.J. Oerlemans

Noot

Deze zaak betreft een klaagschrift over het vorderen van gegevens van een Nederlandse clouddienstverlener. De zaak is interessant, omdat het de eerste gepubliceerde zaak is op strafrechtelijk gebied over het vorderen van gegevens bij clouddienstverleners. De zaak biedt meer duidelijkheid over de vraag op basis van welke juridische grondslag opgeslagen documenten bij een clouddienstverlener kunnen worden gevorderd. In deze noot wordt niet ingegaan op mogelijke jurisdictievraagstukken. Het betreft hier een Nederlandse opsporingsonderzoek naar een Nederlandse verdachte, waarbij relevante stukken worden gevorderd bij een Nederlandse clouddienstverlener.

De feiten

In casu ontwikkelde de klaagster software ter ondersteuning van fiscale aangifte- en advieswerkzaamheden voor accountants en administratiekantoren. Vervolgens vorderde de FIOD gegevens bij klaagster in het kader van een strafrechtelijk onderzoek. Het ging om gegevens over de belastingaangiften en onderliggende aantekeningen met betrekking tot het indienen van de aangiften van een klant van de klaagster over een periode van meer dan vijf jaar.

Deze gegevens staan opgeslagen op een server van Amazon in Ierland, waar de klaagster een deel van de server voor haar klanten huurt. De klaagster stelt zich op het standpunt dat voor de vordering geen juridische basis bestaat en de vordering niet proportioneel en subsidiair is.

Oordeel rechtbank

Met betrekking tot de vraag welke juridische basis van toepassing is, geeft de rechtbank aan dat de klaagster een provider van een communicatiedienst is in de zin van art. 126la sub a Sv. De reden is dat zij voor haar klanten de faciliteit biedt om toegang te krijgen tot de opgeslagen gegevens op een door haar gehuurde server bij Amazon in Ierland. Zij fungeert daarmee als ‘toegangspoort tot de cloud’, hetgeen een vorm van telecommunicatie is.

Met betrekking tot de vraag of de vordering proportioneel en subsidiair is, geeft de rechtbank aan dat dit het geval is. De rechtbank vindt het daarbij kennelijk niet bezwaarlijk dat meer dan vijf (!) jaar aan documentatie van belastingaangiften en onderliggende aantekeningen van een verdachte wordt opgevraagd. Hoewel de rechtbank het niet expliciet maakt, is het waarschijnlijk van grote betekenis dat het om de gegevens van één verdachte gaat en de gegevens binnen een specifieke periode worden gevorderd.

Welke wettelijke grondslag?

Lange tijd hadden Nederlandse opsporingsinstanties geen ervaring met het vorderen van opgeslagen documenten bij clouddienstverleners. Daardoor bestond onduidelijkheid over de vragen welke juridische grondslag van toepassing is voor het vorderen van gegevens bij deze dienstverleners. (zie onder andere Zie E.J. Koops, R.E. Leenes, P.J.A. de Hert, & S. Olislaegers, ‘Misdaad en opsporing in de wolken: Knelpunten en kansen van cloud computing voor de Nederlandse opsporing’, WODC, Den Haag/Tilburg 2012).

Daar is nu verandering in gekomen. De Rechtbank Overijssel maakt duidelijk dat een clouddienstverlener die toegang verschaft tot documenten op afstand een elektronische communicatieprovider is en voor het vorderen van deze gegevens een machtiging van een rechter-commissaris is vereist.

Wel rekt de rechtbank Overijssel door de uitspraak het begrip ‘aanbieder van een elektronische communicatiedienst’ enigszins op. Een tekstuele uitleg op basis van artikel 126la Sv zou met zich meebrengen dat de dienstverlening gekoppeld moet zijn aan een communicatiedienst.

Artikel 126la sub a Sv luidt als volgt: “aanbieder van een communicatiedienst: de natuurlijke persoon of rechtspersoon die in de uitoefening van een beroep of bedrijf aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst” (onderstreping toegevoegd).

 Dat “een vorm van telecommunicatie plaatsvindt” is niet voldoende. Het lijkt wel alsof de rechtbank is uitgegaan van het oude begrip ‘aanbieder van een openbare telecommunicatiedienst- of netwerk’ in het Wetboek van Strafvordering. Deze term is afkomstig uit hoofdstuk 13 van de Telecommunicatiewet, maar verschilt met de huidige term aanbieder van een elektronische communicatiedienst in het Wetboek van Strafvordering. Bij aannemen van de Wet computercriminaliteit II is het huidige begrip in art. 126la Sv geïntroduceerd. Daarbij is de nadruk meer komen te liggen op het verlenen van een elektronische communicatiedienst zelf en minder op het routeren van signalen over een telecommunicatienetwerk. Webmailproviders, elektronische communicatieaanbieders die gebruik maken van apps voor hun dienstverlening en sociale mediadiensten worden bijvoorbeeld aangemerkt als een aanbieder van een elektronische communicatiedienst, maar zijn geen aanbieder van een openbare telecommunicatiedienst- of netwerk. (Zie G. Odinot, D. de Jong, R.J. de Bokhorst & C.J. de Poot, ‘De Wet bewaarplicht telecommunicatiegegevens’, WODC, Den Haag: Boom Lemma Uitgevers 2013. Zie ook Kamerstukken II 2003/04, 29441, nr. 3, p. 14, Kamerstukken II 2007/08, 31145, nr. 9, p. 6, Kamerstukken I 2008/09, 31145, nr. F, p. 4 en Kamerstukken II 2015/16, 34537, nr. 3, p. 43. Zie ook Opinie 02/2013 over apps op intelligente apparaten van de art. 29 Werkgroep, 00461/13/NL WP 202, p. 25, noot 46)

De wijziging vindt haar achtergrond in de implementatie van het Cybercrimeverdrag als onderdeel van de Wet computercriminaliteit II. Helaas is het Cybercrimeverdrag ook dubbelzinnig over de betekenis van het begrip. In paragraaf 27 van de toelichting op het verdrag staat dat diensten die een verbinding tot een netwerk bewerkstelligen onder het begrip vallen. Daarmee wordt het begrip breed geïnterpreteerd. Een zin later wordt het echter weer versmald door te stellen dat de dienstverlening gekoppeld moet zijn aan een communicatie- of verwerkingsdienst. In casu gaat het echter om een platform dat op afstand toegang verschaft tot documenten die opgeslagen liggen op een server elders. Deze dienstverlening is vergelijkbaar met een online opslagdienst. Het is de vraag of het benodigde communicatieaspect in art. 126la Sv daarbij van toepassing is.

Conclusie

Toch heb ik veel sympathie voor de beslissing van de rechtbank. Het Cybercrimeverdrag biedt aanknopingspunten voor de interpretatie dat clouddienstverleners als een aanbieder van een elektronische communicatiedienst moeten worden aangemerkt. Bovendien is voor het vorderen van opgeslagen gegevens bij een elektronische communicatiedienstverlener art. 126ng lid 2 Sv van toepassing. Op basis van artikel 126ng lid 2 Sv moet een rechter-commissaris een machtiging geven aan de officier van justitie om deze gegevens te mogen vorderen. Deze strenge waarborgen zijn wenselijk gezien de serieuze privacy-inmenging dat het vorderen van opgeslagen documenten met zich meebrengt. Het alternatief zou zijn dat de gegevens op basis van art. 126nd Sv kunnen worden gevorderd, waarvoor minder waarborgen gelden. Voor toepassing van deze bevoegdheid is namelijk slechts een bevel van een officier van justitie  vereist. Vanuit privacyperspectief is de ruime interpretatie van het begrip elektronische communicatieaanbieder daarom zo gek nog niet.

Deze annotatie is in vergelijkbare vorm verschenen in Computerrecht.

noot-computerrecht-j.j.-oerlemans-vorderen-van-gegevens-in-de-cloud-20-februari-2017Download

Veroordeling voor online drugshandel op Agora en Evolution

jjoerlemans Een reactie plaatsen

Op 10 maart 2017 heeft de Rechtbank Noord-Holland een verdachte veroordeeld (ECLI:NL:RBNHO:2017:1940) voor online drugshandel en gewoontewitwassen. De verdachte handelde in voornamelijk XTC-pillen en LSD via de – indertijd populaire – online drugsforums ‘Agora’ en ‘Evolution’. Deze forums zijn zogenaamde ‘hidden services’ en alleen bereikbaar via het Tor netwerk. De verdachte specialiseerde zich in zijn omvangrijke handel in het bevoorraden van de zogenaamde ‘resellers’ en behoorde daarmee tot het hogere segment van de drugshandel.

De zaak is ook interessant, omdat wordt beschreven hoe de rechercheurs van de ‘TNO darkwebmonitor’ gebruik maakten om bewijs te verzamelen. Daarbij is onder andere gebruik gemaakt van de beoordelingen van klanten van de drugshandelaar op de fora. De onderzoekshandelingen zijn klaarblijkelijk goed gedocumenteerd.

In de zaak wordt ook uitgebreid ingegaan op de gebruikte ‘cryptocurrencies’ door de verdachte, die vaak worden gebruikt voor witwassen (zie ook Computerrecht 2017/35). In casu betroffen deze virtuele valuta  bitcoins, paycoins en opalcoins. Met behulp van financieel rechercheren zijn de rechercheurs nagegaan of er een verbinding gemaakt kon worden tussen de bitcoinadressen in de digitale portemonnee op de laptop van de verdachte en de transacties en bitcoinadressen die voorkomen op genoemde darknet markets. In de periode van 24 februari tot en met 9 maart 2015 waren bijvoorbeeld 889,90 bitcoins naar de forums overgemaakt met een toenmalige waarde van 208.125,72 euro. Daarbij is van 16 transacties vastgesteld dat de verdachte deze heeft ontvangen van Evolution of Agora.

De verdachte is veroordeeld voor gewoontewitwassen. De herkomst van de cryptocurrencies (uit de online drugshandel) werd verhult door het omwisselen van de bitcoins in euro’s. Deze geldbedragen zijn middellijk afkomstig uit enig misdrijf. De rechtbank kwalificeert de aanschaf van de personenauto’s en luxe goederen als verhullingshandelingen, nu deze zijn aangeschaft met geld afkomstig uit handel in verdovende middelen. Het virtuele geld dat de verdachte nog in zijn bezit had en de luxegoederen worden door de rechtbank verbeurd verklaard. Ondanks de relatief jeugdige leeftijd van verdachte tijdens het begaan van die feiten, wordt de verdachte veroordeeld voor de forste gevangenisstraf van 3 jaren.

Investigating Cybercrime

jjoerlemans Een reactie plaatsen

Posted on 15/02/2017

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

Annotatie TorRAT

jjoerlemans Een reactie plaatsen

Rechtbank Rotterdam 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht 2016/175, m.nt. J.J. Oerlemans

Deze uitspraak (ECLI:NL:RBROT:2016:5814) betreft één van de weinige veroordelingen voor banking malware in combinatie met witwassen (Zie ook Rb. Rotterdam, 2 oktober 2015, ECLI:NL:RBROT:2015:7041 en Rb. Zeeland 29 juni 2016, ECLI:NL:RBZWB:2016:3877) De zaak geeft een exclusief kijkje in de high tech wereld van banking malware en het witwassen van de crimineel verkregen gelden. Op juridisch gebied is de bewijsconstructie van de rechtbank interessant en moet de vraag worden gesteld op welke wijze witgewassen bitcoins in beslag kunnen worden genomen.

Modus operandi banking malware

De verdachten hebben met kwaadaardige software, genaamd “TorRAT”, computers besmet teneinde de internetbankiersessie van hun slachtoffers te manipuleren. De computers van slachtoffers werden besmet via e-mails met ogenschijnlijk een aanmaning of voorstel voor een betalingsregeling. Na het openen van de bijlage werd de malware op de computers van de slachtoffers geïnstalleerd en maakte de software via het anonimiseringprogramma Tor verbinding met de zogenaamde Command-and-Control server van de verdachten. Via een Command-and-Control server hebben de verdachten een overzicht van de besmette computers en kunnen instructies aan de besmette computers (ook wel ‘zombie computers’ genoemd) worden verstuurd. De verdachten verkrijgen daarmee controle over enkele functionaliteiten van de computers. Software dat functionaliteiten van computers op afstand kan overnemen wordt ook wel een Remote Access Tool (of RAT) genoemd. Samen met het feit dat de malware verbinding maakt met Tor, kan de naam van de malware – TorRAT – worden verklaard.

In dit geval heeft de malware als doel om de internetbankiersessies van de slachtoffers te manipuleren. In de uitspraak wordt beschreven dat de malware in werking treed op het moment dat een slachtoffer zijn of haar bankwebsite opzoekt om online te bankieren. Met de malware kan tijdens het internetbankieren (buiten het zicht van de gebruiker) het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast en vervolgens geld naar een ander rekeningnummer worden overgemaakt.

Witwassen

Op deze wijze zijn betalingen met de TorRAT malware gewijzigd en omgeleid naar money mules. Money mules worden door de rechtbank omschreven als personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hebben gesteld. Vervolgens is het geld in de meeste gevallen zo snel mogelijk in contant opgenomen of omgezet in de virtuele valuta Bitcoin. Bitcoins kunnen worden aangekocht via Bitcoin exchanges. Deze handelingen leverden volgens de rechtbank de volgende delicten op: computervredebreuk (art. 138ab Sr), het verzenden van spam (art. 138b Sr (voor het versturen van de spam), het aftappen of opnemen van gegevens met malware (art. 138c Sr), het installeren van malware (art. 139d Sr), het in bezit hebben van de malware (art. 139e Sr), diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr) en oplichting (art. 326 Sr).

De rechtbank acht tevens het delict gewoontewitwassen (art. 420bis Sr) bewezen. De vereiste verhullingshandeling bestond daarbij uit het overboeken van het geld naar de rekeningen van money mules, waarna het geld veelal contant werd gemaakt door middel van betalingen of door omzetting in bitcoins. De overboeking van de rekening van een slachtoffer naar de money mule ziet de rechtbank als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door het contant maken of omzetting in bitcoins dat de gedraging tot witwassen maakt. De rechtbank komt ook tot het oordeel dat sprake is van een criminele organisatie (art. 140 Sr). Daarbij wordt opgemerkt dat voor het plegen van de ‘cyberfraude’ een daarop gerichte organisatie noodzakelijk is. Een groep van personen heeft in dit geval de malware is ontwikkeld, servers zijn gehackt om de e-mails voor de malware verspreiding te distribueren, en money mules zijn geronseld om beschikking te krijgen over rekeningen om geld op te storten. De rechtbank komt tot de conclusie dat daarvoor een planmatige aanpak, samenwerking en duidelijke afstemming tussen de betrokkenen noodzakelijk is geweest. Ter onderbouwing van deze samenwerking worden  enkele passages afkomstig uit e-mails aangehaald. De verdachten maakten gebruik van de (niet meer beschikbare) dienst TorMail, dat kan worden beschreven als een gratis webmail dienst dat alleen via Tor bereikbaar is. Uit de uitspraak wordt niet helder hoe toegang tot deze e-mails is verkregen.

Veroordeling

De verdachte was één van de oprichters van de criminele organisatie en had een leidinggevende rol binnen het criminele samenwerkingsverband. Hij is veroordeeld tot een gevangenisstraf van 3 jaar. Tevens moet de verdachte een stevige schadevergoeding betalen van € 105.491,42 aan de ING. De vordering van de Rabobank werd onvoldoende gemotiveerd geacht. De medeverdachten zijn veroordeeld voor gevangenisstraffen variërend van 9 tot 36 maanden, afhankelijk van hun rol binnen de criminele organisatie en strafblad.

Aangifte ING

Met betrekking tot de bewijsvoering is het interessant dat de officier van justitie stevig leunt op bijlagen van frauduleuze transacties die zijn aangeleverd door een IT beveiligingsbedrijf en de betrokken banken zelf. De verdediging voerde echter aan dat daaruit niet direct blijkt dat de TorRAT malware deze frauduleuze transacties veroorzaakt. Teneinde de causaliteit vast te stellen bespreekt de rechtbank 15 frauduleuze transacties uitvoerig. Daaruit blijkt volgens de rechtbank dat de configuratiebestanden afkomstig zijn van TorRAT en de frauduleuze transacties met de malware zijn uitgevoerd.

Overigens zij opgemerkt dat de rechtbank in de uitspraken onder andere IP adressen in zijn geheel opneemt. Daar kan kritiek op worden geleverd, omdat de IP adressen (nog steeds) zijn terug te voeren tot bepaalde dienstverleners en door de Autoriteit Persoonsgegevens IP adressen als een persoonsgegeven beschouwd.

Omzetten bitcoins

Ten slotte is het opvallend dat in het persbericht van het Openbaar Ministerie over de zaak in 2013 nog wordt opgemerkt dat beslag is gelegd op 56 bitcoins, die destijds zijn omgezet in meer dan 7700 euro. De uitspraak refereert hier niet naar deze beslaglegging. Evenwel sta ik hier kort bij stil aangezien die inbeslagneming van bitcoins een aantal juridische vragen oproept.

Ten eerste de vraag of bitcoins als goed gekwalificeerd kunnen worden en daarmee vatbaar zijn voor inbeslagname. Hoewel een goed ook onstoffelijk kan zijn en giraal geld kan betreffen, worden gegevens  binnen het strafrecht in principe niet gekwalificeerd als goed. Uit verschillende arresten kan echter worden afgeleid dat als de gegevens, kort gezegd, uniek zijn en in het economisch verkeer van waarde is, zij toch als goed kunnen worden beschouwd zie o.a. (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)) Het Openbaar Ministerie neemt ook de positie in dat bitcoins als goed kunnen worden beschouwd en vatbaar zijn voor inbeslagname.

De tweede vraag is op welke wijze de bitcoins in beslag kunnen worden genomen. Er is geen formele openbare werkwijze van het Openbaar Ministerie beschikbaar. Een UNDOC rapport (.pdf) over witwassen met virtuele betalingsmiddelen beschrijft dat het gebruikelijk is dat, indien de bitcoins zich in een Bitcoin portemonnee op een computer of gegevensdrager bevinden, eerst het voorwerp zelf in beslag worden genomen. Vervolgens kunnen de bitcoins worden overgemaakt naar een Bitcoinadres dat is aangemaakt door de opsporingsambtenaren. Als laatste stap kunnen de ‘inbeslaggenomen’ bitcoins via Bitcoin exchanges worden omgezet in euro’s en op een rekening van het Openbaar Ministerie worden gestort. Uit een interview in het magazine van het Openbaar Ministerie blijkt dat deze wijze van inbeslagname overeenkomt met de wijze waarop bitcoins in Nederland in beslag worden genomen.

Slechts één uitspraak (ECLI:NL:GHARL:2016:5563) is beschikbaar waarin expliciet wordt genoemd dat de gegevensdrager, een USB-stick met daarop 147 bitcoins, verbeurd is verklaard door de rechtbank omdat de bitcoins op strafbare wijze zijn verkregen en de USB-stick aan de verdachte toebehoord. Onduidelijk blijft in ieder geval op welke wijze bitcoins in beslag worden genomen die alleen via een portemonnee in een online account bereikbaar zijn. Wordt daarvoor misschien van een vorm van een netwerkzoeking gebruik gemaakt? Het laatste woord zal dus nog niet gezegd zijn over de inbeslagname van bitcoins en andere digitale betalingsmiddelen.

Deze annotatie is in soortgelijke tekst verschenen in Computerrecht (.pdf (per abuis is als titel ‘Megaserver’ aangegeven)).

Cybercrime jurisprudentie overzicht september 2016

jjoerlemans Een reactie plaatsen

Veroordeling voor gebruik van banking malware en witwassen

Op 29 juni 2016 heeft de Rechtbank Zeeland-West-Brabant (ECLI:NL:RBZWB:2016:3877) de leider van een criminele cybercrimeorganisatie veroordeeld tot twee jaar gevangenisstraf. De verdachte heeft zich schuldig gemaakt aan diefstal, witwassen en deelname aan een criminele organisatie. Bovendien is de verdachte veroordeeld voor de verspreiding van malware (art. 139d Sr), computervredebreuk (art. 138ab Sr), en gegevensaantasting (art. 350a Sr).

De uitspraak is interessant, omdat er vooralsnog weinig gepubliceerde uitspraken zijn over cybercrime en witwassen. Bovendien wordt in paragraaf 4.3.3 van de uitspraak op gedetailleerde wijze de werking van bankingmalware beschreven. Bij dit (niet nader gespecifieerde) type banking malware werden de slachtoffers besmet met de kwaadaardige software na het bezoeken van (advertenties van) bepaalde websites met kwetsbare computers. Na besmetting van de computer maakt de malware tijdens een bezoek aan de website van een vooraf geselecteerde bank, buiten het zicht van de gebruiker, geld over naar een rekeningnummer van een geldezel. Om dat te bewerkstelligen, wordt tijdens een elektronisch bankiersessie een splitsing van de sessie gemaakt waarbij een tweede betaling wordt klaargezet. Na authenticatie van de eerste betaling wordt tegelijkertijd geld buiten het zicht van het slachtoffer overgemaakt naar een geldezel. Het geld werd vervolgens kort na de overboeking gepind. In de uitspraak wordt ook aangegeven dat na de overboeking direct bitcoins door de daders zijn aangekocht.

De rechtbank stelt vast dat sprake is van diefstal door middel van gebruikmaking van een valse sleutel, omdat met behulp van banking malware door derden in totaal een bedrag van € 81.168,76 is weggenomen van de slachtoffers. De rechtbank stelt vervolgens vast dat van witwassen sprake is. De verdachte was op de hoogte van het feit dat geldbedragen van diefstal door middel van gebruik van een valse sleutel afkomstig waren en met behulp van malware overboekingen werden gedaan. Gelet op de verhullingshandelingen (door het overgeboekte geld direct contant op te nemen en de aankoop van bitcoins) en het feit dat de verdachte wist dat wat er gaande is, wordt het delict gewoontewitwassen bewezen geacht. Ten slotte verklaart de rechtbank het bewezen dat sprake is van een criminele organisatie.

Phishing-bende veroordeeld

Op 15 juli 2016 zijn drie mannen en twee vrouwen veroordeeld voor het op grote schaal plegen van oplichting door middel van phishing (Rb. Den Haag 15 juli 2016, ECLI:NL:RBDHA:2016:7981). De vijf vormden een criminele organisatie met als doel het plegen van phishing.

In dit geval zijn mensen met een rekening bij de Rabobank benaderd via een vals mailbericht met het aanbod voor het aanvragen van een nieuwe Rabo Scanner. Via de link werden de slachtoffers doorverwezen naar een website waarop zij hun persoonlijke gegevens hebben ingevuld ten behoeve van de aanvraag. Daarna belde een van de vrouwen hen op, die zich voordeed als medewerkster van de Rabobank. Gedurende het telefoongesprek liet zij de slachtoffers hun codes afgeven, waarna het geld van de rekening van de slachtoffers werd overgeboekt naar andere rekeningen, en vervolgens contant werd opgenomen of uitgegeven.

De slachtoffers zijn bewogen tot een afgifte van in totaal € 500.000. Daarnaast heeft de Rabobank ongeveer € 500.000 aan overboekingen tegengehouden. De drie mannen en één vrouw krijgen tot 3 jaar gevangenisstraf door de rechtbank opgelegd. Daarnaast zijn ze veroordeeld tot het vergoeden van de schade die is geleden door de Rabobank tot een bedrag van € 468.644,58, te vermeerderen met de wettelijke rente.

Veroordeling drugshandel via internet en inbeslagname van USB-stick met bitcoins

Op 7 juli 2016 heeft het Gerechtshof Arnhem-Leeuwarden enkele verdachten veroordeeld tot drugshandel via internet en deelname aan een criminele organisatie (ECLI:NL:GHARL:2016:5563). De zaak is relevant, omdat wordt beschreven op welke wijze drugshandel via internet plaatsvindt en bitcoins in beslag zijn genomen.

De verdachten handelden in pillen met MDMA. De pillen werden verpakt in DVD hoesjes en via de post verstuurd. De drugs werd verkocht via een (niet nader genoemd) online drugsforum en de betaling vond plaats in bitcoin. Door één van de verdachten werden de bitcoins in contant geld omgewisseld. In de zaak wordt beschreven hoe opsporingsambtenaren tijdens een doorzoeking op relevant digitaal bewijs stuitten.

De rechtbank omschrijft dat de verbalisanten tijdens de doorzoeking van een woning een laptop zagen waarop de online drugshandel website nog open stond en er een account was aangemaakt waarmee 30 opdrachten/bestellingen waren verricht. Bovendien stond de laptop ingelogd met account X en stond het account van de verdachte omschreven als ‘seller’.

Een USB-stick, maar daarop 147 bitcoins is door het hof vatbaar verklaard voor verbeurdverklaring, omdat de bitcoins door middel van strafbare feiten zijn verkregen en aan de verdachte toebehoorden. Het gerechtshof veroordeelt de verdachten tot drie jaar gevangenisstraf, waarvan twee jaar voorwaardelijk, met een proeftijd van drie jaar.

Ransomware en witwassen van losgeld in Bictoin

jjoerlemans Een reactie plaatsen

Een van de nieuwste ontwikkelingen op het terrein van cybercrime is ransomware. Dit is kwaadaardige software (malware) die toegang tot iemands computer en/of bestanden daarop blokkeert. Een specifieke vorm van ransomware is zogeheten cryptoware, die de bestanden versleutelt met behulp van cryptografie. Vervolgens eisen de cybercriminelen betaling van losgeld, vaak in de vorm van Bitcoins. Deze bijdrage gaat in op de vraag hoe cybercriminelen ransomware en cryptoware inzetten om geld te verdienen en hoe de verdiende Bitcoins vervolgens worden witgewassen.

Mijn artikel ‘Ransomware, cryptoware en het witwassen van losgeld in Bitcoins’ heb ik samen geschreven met Bart Custers en Ronald Pool.

Annotatie Context-zaak

jjoerlemans Een reactie plaatsen

Rb. Den Haag, 10 december 2015, ECLI:NL:RBDHA:2015:14365, Computerrecht 2016/47, m.nt. J.J. Oerlemans.

In deze zogenoemde ‘Context-zaak’ zijn in totaal negen verdachten veroordeeld. Zes verdachten maakten deel uit van een zogenaamde Haagse ronselorganisatie en zijn vervolgd voor deelname aan een criminele organisatie met een terroristisch oogmerk. Zij maakten zich schuldig aan het opruien, ronselen en het faciliteren en financieren van jongeren die naar Syrië wilden afreizen om te gaan vechten. Tevens is in deze zaak een vrouw veroordeeld tot een celstraf van zeven dagen voor één opruiende retweet. Voor de bewijsgaring is in de zaak door de politie uitgebreid gebruik gemaakt van Facebook en Twitter. Voor IT-juristen is de uitspraak om twee redenen ook in het bijzonder interessant:

  • Ten eerste wordt in de uitspraak ingegaan op de vraag of een retweet kan leiden tot bewezenverklaring van het delict opruiing. De rechtbank is hierover helder. De Haagse rechters bevestigen de stelregel die op Twitter geldt: ‘a retweet is not an endorsement’.

Zie r.o. 11.22: “De rechtbank onderschrijft dat op Twitter het uitgangspunt geldt: retweet is not endorsement. Dat brengt mee dat het retweeten van een bericht dat op zich als opruiend wordt beoordeeld in beginsel niet strafbaar is ingevolge artikel 131 Sr. Wel valt deze gedraging onder de reikwijdte van artikel 132 Sr. Dat is anders indien uit het commentaar van verdachte bij de retweet blijkt dat hij de inhoud onderschrijft, of wanneer het geretweete bericht past binnen een reeks van berichten van verdachte van dezelfde aard en/of strekking, binnen een bepaalde periode. Hetzelfde geldt ook voor het delen van een hyperlink.”

 Eerder leidde vervolging van een retweet door Bert Brussen over een bedreiging aan Wilders tot een sepot van het Openbaar Ministerie. Echter, indien de retweet gepaard gaat met een opmerking, kan deze gedraging tot bewezenverklaring van het delict opruiing leiden, omdat dan uit de opmerking van de verdachte is af te leiden dat de strafbare inhoud wordt onderschreven. Ook kan sprake zijn van delict opruiing bij retweets indien het geretweete bericht past binnen een reeks van berichten van verdachte van dezelfde strekking, binnen een bepaalde periode.

  • Ten tweede is de zaak voor IT-juristen interessant, omdat het één van de eerste uitspraken betreft waar een oordeel wordt gegeven over het gebruik van bijzondere opsporingsbevoegdheden op internet. In dit geval moesten de rechters vragen beantwoorden omrent de juridische grondslag voor het gebruik van opsporingsmethoden op sociale media diensten. In deze noot wordt op dit tweede aspect van de uitspraak nader in gegaan.

Feiten

In deze zaak heeft de politie een online operatie op touw gezet om een betere informatiepositie op Facebook te verkrijgen en de contacten van de verschillende verdachten en hun specifieke uitingen op internet in beeld te krijgen. De politie heeft informatie via Twitter vergaard door tweets van de verdachten te bekijken en vast te leggen. Deze tweets waren door de verdachten waren gepubliceerd via profielen die voor een ieder toegankelijk waren gemaakt. De politie heeft tevens een Facebookaccount aangemaakt op de naam ‘Aboe Noewas’ en in de periode van 21 juni 2013 tot 1 september 2014 op elke doordeweekse dag berichten, foto’s en video’s op dit profiel geplaatst. Door het plaatsen van deze openbare berichten hoopte de politie in contact te komen met de verdachten onder een geloofwaardige dekmantel. Voor ongeveer een periode van een half jaar (april-augustus 2014) heeft de politie tevens een Facebookaccount onder de naam ‘Ab Bashir’ aangemaakt en gebruikt. Door het aanmaken van het account kon de politie ook kennisnemen van informatie op de Facebookprofielen van de verdachten, voor zover deze profielen voor iedereen toegankelijk waren gemaakt. De politie heeft ook vriendschapsverzoeken gestuurd naar de verdachten om kennis te nemen van de informatie van hun privéprofiel op Facebook. Enkele van deze vriendschapsverzoeken waren succesvol. Tevens heeft een opsporingsambtenaar op verzoek toegang gekregen tot een afgeschermde (werk)groep van de verdachten op Facebook. Opvallend is dat de politie deze onderzoekshandelingen op internet niet goed heeft gedocumenteerd, waardoor niet goed kon worden nagegaan met wie de politie nu precies Facebook-vrienden zijn geworden en welke berichten door de politie zelf zijn verspreid. Zie ook Marcel Haenen & Andreas Kouwenhoven, ‘Infiltratie gelukt, gegevens weg’, NRC.nl.

Digitale opsporing

De politie heeft niet voor alle opsporingsactiviteiten op internet een bevel van de officier van justitie bemachtigd voor de uitvoering van de bijzondere opsporingsbevoegdheid tot stelselmatige informatie-inwinning. De verdediging heeft aangevoerd dat deze bijzondere opsporingsbevoegdheid wel gebruikt had moeten worden in verband met de meer dan geringe privacyinbreuk die bij deze activiteiten zou hebben plaatsgevonden.

De rechtbank is van oordeel dat voor aanmaken van het Facebookaccount en de opsporingsactiviteiten die daarna door de politie zijn uitgevoerd inderdaad een bevel voor het stelselmatig inwinnen van informatie op grond van art. 126j Sv noodzakelijk was. In de operatie heeft een meer dan geringe inbreuk op de persoonlijke levenssfeer van de betrokkenen plaatsgevonden door het bekijken en veilig stellen van de informatie voor een langere periode. Daarbij is ook kennis genomen van (verbanden tussen) de sociale media contacten van de verdachten en de inhoud van die contacten in relatie tot de verdenking. De rechters nemen ook in overweging mee dat zicht werd kregen op activiteiten van de verdachten in het verleden, door het kennisneming van (mogelijk ver) in het verleden geplaatste berichten.

De politie heeft alleen een bevel tot stelselmatige informatie-inwinning van een officier van justitie verkregen voor het versturen van vriendschapsverzoeken aan de verdachten, waarmee toegang kon worden gekregen tot afgeschermde gedeeltes van Facebookpagina’s en het kennisnemen van informatie op de afgeschermde Facebook werkgroep Shaam van de verdachten. Toch wordt door de rechtbank geen sanctie toegekend aan het vormverzuim voor het ontbreken van een bevel voor stelselmatige informatie-inwinning voor de gehele operatie. De rechters nemen in hun overweging mee dat voor het versturen van de vriendschapsverzoeken wel een bevel is bemachtigd en oordelen dat kan worden volstaan met de constatering van het vormverzuim. De rechtbank overweegt verder dat geen sprake is geweest van uitlokking, omdat er geen aanwijzingen zijn dat de uitingen op sociale media oorspronkelijk afkomstig waren van de Facebookpagina’s van de fictieve personen.

In de onderhavige zaak wordt het voor eerst een uitspraak gedaan over de juiste grondslag in het Wetboek van Strafvordering voor opsporingsactiviteiten via sociale mediadiensten. Terecht stellen de rechters vast dat art. 3 Politiewet 2012 slechts een voldoende grondslag vormt voor opsporingsactiviteiten voor zover een geringe inbreuk op het recht op privacy vormt en de risico’s voor de integriteit van de opsporing beperkt blijven. Voor die opsporingsactiviteiten die een meer dan geringe inbreuk op het recht op privacy van de betrokkene opleveren en een risico voor de integriteit van opsporingsonderzoeken met zich mee brengen is toepassing van een bijzondere opsporingsbevoegdheid noodzakelijk. Deze basisnorm is af te leiden uit de wetsgeschiedenis en andere jurisprudentie met betrekking tot opsporingsmethoden. (Zie bijvoorbeeld Kamerstukken II 1996/97, 25 403, nr. 3, p. 110 en 115 en HR 19 december 1995, ECLI:NL:HR:1995:ZD0328, HR 20 januari 2009, ECLI:NL:HR:2009:BF5603, NJ 2009, 225, m.nt. Borgers, HR 13 november 2012, ECLI:NL:HR:2012:BW9338, NJ 2013, 413, m.nt. Borgers en HR 7 juli 2014, ECLI:NL:PHR:2014:623)

In dit geval stellen de rechters vast dat toepassing van de bijzondere opsporingsbevoegdheid van stelselmatige-informatie inwinning op zijn plaats is geweest. Daarbij is het interessant dat de rechters ook expliciet de kennisname van informatie over de sociale media contacten van de betrokkene en de kennisname van berichten die op het profiel in het verleden zijn geplaatst meenemen in hun beoordeling over de zwaarte van de privacy inmenging door de opsporingsmethode.

Het is toe te juichen dat in deze uitspraak zo uitgebreid wordt ingegaan op de juiste grondslag voor de toepassing van opsporingmethoden op internet. De wetgever heeft al eerder duidelijk gemaakt dat bestaande bijzondere opsporingsbevoegdheden ook op internet kunnen worden toegepast (Zie Kamerstukken II 1996/97, 25 403, nr. 3, p. 29 en p. 55 en Kamerstukken II 1998/99, 26 671, nr. 3 p. 36-37) Echter, deze wetsgeschiedenis stamt uit 1997, waardoor onduidelijkheid bestaat over de toepassing van deze bevoegdheden in de huidige internet omgeving. Terecht wordt door de rechters vastgesteld dat voor de interactie met verdachten op internet, in de vorm van vriendschapsverzoeken op Facebook om toegang te krijgen tot privéinformatie op een profiel, de bijzondere opsporingsbevoegdheid voor het stelselmatig inwinnen moet worden toegepast. In dat geval wordt een meer dan geringe inbreuk op de persoonlijke levenssfeer van de betrokkene in het opsporingsonderzoek gemaakt en kan een ‘min of meer volledig beeld van bepaalde aspecten van het privéleven’ van de betrokkene worden verkregen, hetgeen volgens de rechtsgeschiedenis stelselmatigheid en toepassing van de bijzondere opsporingsbevoegdheid voor stelselmatige observatie of stelselmatige informatie-inwinning vereist. (Zie ook Kamerstukken II 1996/97, 25 403, nr. 3, p. 26-27. Zie ook r.o. 5.18. Alhoewel dit criterium meer specifiek is gesteld voor stelselmatige observatie, kunnen de criteria voor het vaststellen van stelselmatigheid bij observatie ook tot op een zekere hoogte worden toegepast voor stelselmatige informatie-inwinning (zie ook r.o. 5.22).

De rechters gaan in deze zaak een stap verder door al vóór het aanmaken van een account toepassing van de bijzondere bevoegdheid te vereisen (zie r.o. 5.27). Daarmee wordt geanticipeerd op opsporingshandelingen die een meer dan geringe inbreuk op het recht op privacy van de betrokkene(n) maken. Mogelijk zou het aanmaken van het nepprofiel ook kunnen plaatsvinden op grond van art. 3 Politiewet 2012, waarbij voor de daadwerkelijke interactie met de verdachte pas de bijzondere opsporingsbevoegdheid van art. 126j Sv wordt toegepast. De aanvang van het moment van interactie met de verdachte(n) zal echter lastig in te schatten zijn. Voor deze meer voorzichtige benadering van de rechtbank Den Haag valt om die reden zeker te pleiten. Overigens zouden opsporingsambtenaren ook hun opsporingshandelingen op internet op grond van art. 3 Politiewet 2012 nauwgezet moeten verbaliseren. De verbalisering van de opsporingshandelingen kunnen vragen van de verdediging beantwoorden over de risico’s van uitlokking waarvan sprake kan zijn bij dit soort undercover opsporingsmethoden (EHRM 4 november 2010, Bannikova v. Russia, nr. 18757/06, § 49-50, EHRC 2015/14, m.nt. F.P.  Ölçer). In deze zaak zijn over de vastlegging van de opsporingsactiviteiten terecht vragen door de verdediging gesteld.

Conclusie

Mijns inziens was een bevel voor het toepassen van de bijzondere opsporingsbevoegdheid tot stelselmatige observatie op grond van art. 126g Sv meer op zijn plaats geweest voor het bekijken en registreren van gedragingen op publieke toegankelijke profielen van Facebook en Twitter. Observatie wordt immers gekenmerkt door het passief waarnemen van gedrag van individuen. Een undercover opsporingsmethode, zoals stelselmatige informatie-inwinning, kenmerkt zich daarentegen door het actief interfereren in het privéleven van de betrokken in een opsporingsonderzoek. Dat laatste vindt plaats bij het communiceren met de verdachten via internet of bij het toevoegen als vriend met de verdachte op Facebook. De rechters beargumenteren overigens dat toepassing van de bijzondere opsporingsbevoegdheid tot infiltratie op grond van art. 126h Sv niet noodzakelijk is geweest, omdat geen strafbare feiten door de opsporingsambtenaren zijn begaan bij het plaatsen van berichten op de Facebookpagina’s van de nepjihadi’s. Mijns inziens was een infiltratietraject echter zo gek nog niet geweest voor de undercoveracties, waarbij ook mogelijk strafbare berichten werden geplaatst door politieambtenaren om de aandacht te trekken van de verdachten.

Tot slot moet nog worden opgemerkt dat binnen het project Modernisering Strafvordering nader wordt onderzocht in hoeverre behoefte is aan de nadere normering voor het vergaren van informatie op internet over verdachten als opsporingsmethode binnen het Wetboek van Strafvordering. Dergelijk onderzoek is nuttig, zo blijkt uit deze uitspraak die aantoont dat onduidelijkheid bestaat over de juridische grondslag voor opsporingsmethoden die via internet worden uitgevoerd. Hoewel men zich kan afvragen of het bekijken en vastleggen van gegevens van personen op publiekelijk toegankelijke gegevens op internet als een aparte bijzondere opsporingsbevoegdheid moet worden geregeld, staat als een paal boven water dat er linksom of rechtsom grote behoefte is aan duidelijkheid over de toepassing van bijzondere opsporingsbevoegdheden op internet. Dit vonnis van de Rechtbank Den Haag geeft alvast enige richting aan het juridisch kader dat van toepassing is op de uitvoering van opsporingsmethoden op internet.

Deze tekst is vergelijkbare vorm verschenen in Computerrecht. De verdachten zijn ook in hoger beroep veroordeeld (Hof Den Haag 7 juli 2016, ECLI:NL:GHDHA:2016:1978).

A warrant requirement for analysing data stored on smartphones

jjoerlemans Een reactie plaatsen

Posted on 28/05/2015

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.

Strafbaarheid van grooming

jjoerlemans Een reactie plaatsen

Op 11 november 2014 heeft de Hoge Raad een arrest gewezen waarin de strafbaarheid van grooming wordt verduidelijkt (ECLI:NL:HR:2014:3140). In het arrest maakt de Hoge Raad duidelijk dat voor strafbaarheid van grooming vereist is dat de verdachte ‘een ontmoeting voorstelt’ én ‘hij enige handeling onderneemt gericht op het verwezenlijken van ontmoeting’. Daarbij hoeft de ontmoeting niet daadwerkelijk plaats te vinden. Grooming is immers in feite een voorbereidingshandeling (zie ook de aangehaalde wetsgeschiedenis (Kamerstukken II 2008/09, 31 810, nr. 3, p. 9).

In de onderhavige zaak was het voldoende dat de verdachte (i) bij herhaling bij het slachtoffer heeft aangedrongen op een ontmoeting en daartoe heeft voorgesteld elkaar te ontmoeten in het bos, in het winkelcentrum en bij haar thuis, waarbij hij een concrete middag, avond dan wel een tijdstip heeft genoemd; (ii) er bij het slachtoffer herhaaldelijk op heeft aangedrongen dat de ontmoetingen snel zouden plaatsvinden en hij haar onder druk heeft gezet; en (iii) het slachtoffer in het kader van het concretiseren van een afspraak zijn telefoonnummer heeft gegeven.

De advocaat-generaal, AG Spronken, adviseerde de Hoge Raad overigens de zaak over te laten doen. Volgens haar is er meer nodig dan deze handelingen van de verdachte om hem te kunnen veroordelen voor grooming. Om van grooming te kunnen spreken moet er volgens Spronken een concreet voorstel voor een ontmoeting zijn en moet de verdachte iets doen om die ontmoeting te realiseren, zoals bijvoorbeeld  op weg gaan naar de afgesproken plaats. De Hoge Raad heeft met de uitspraak dus een lagere drempel aangehouden dan de AG adviseerde.  

Kort na het arrest van de Hoge Raad heeft de Rechtbank Oost-Brabant op 9 december 2014 een man heeft vrijgesproken van grooming (ECLI:NL:RBOBR:2014:7494). Volgens de rechtbank was slechts sprake was van een poging tot grooming, hetgeen niet strafbaar is. Alhoewel de rechtbank het sturen van seksueel getinte berichten van de docent naar een 15-jarig meisje als ‘uiterst laakbaar’  bestempeld, is voor grooming vereist dat de communicatie zich concretiseert tot een voorstel voor een ontmoeting, gevolgd door gedragingen gericht op het tot stand komen van die ontmoeting. De rechtbank merkt op dat een verdere verschuiving van strafbaarheid naar de voorfase zou betekenen dat het louter versturen van sms-berichten met seksuele toespelingen al strafbaar zou zijn.