Categorie Jurisprudentie

Ransomware en witwassen van losgeld in Bictoin

jjoerlemans Een reactie plaatsen

Een van de nieuwste ontwikkelingen op het terrein van cybercrime is ransomware. Dit is kwaadaardige software (malware) die toegang tot iemands computer en/of bestanden daarop blokkeert. Een specifieke vorm van ransomware is zogeheten cryptoware, die de bestanden versleutelt met behulp van cryptografie. Vervolgens eisen de cybercriminelen betaling van losgeld, vaak in de vorm van Bitcoins. Deze bijdrage gaat in op de vraag hoe cybercriminelen ransomware en cryptoware inzetten om geld te verdienen en hoe de verdiende Bitcoins vervolgens worden witgewassen.

Mijn artikel ‘Ransomware, cryptoware en het witwassen van losgeld in Bitcoins’ heb ik samen geschreven met Bart Custers en Ronald Pool.

Annotatie Context-zaak

jjoerlemans Een reactie plaatsen

Rb. Den Haag, 10 december 2015, ECLI:NL:RBDHA:2015:14365, Computerrecht 2016/47, m.nt. J.J. Oerlemans.

In deze zogenoemde ‘Context-zaak’ zijn in totaal negen verdachten veroordeeld. Zes verdachten maakten deel uit van een zogenaamde Haagse ronselorganisatie en zijn vervolgd voor deelname aan een criminele organisatie met een terroristisch oogmerk. Zij maakten zich schuldig aan het opruien, ronselen en het faciliteren en financieren van jongeren die naar Syrië wilden afreizen om te gaan vechten. Tevens is in deze zaak een vrouw veroordeeld tot een celstraf van zeven dagen voor één opruiende retweet. Voor de bewijsgaring is in de zaak door de politie uitgebreid gebruik gemaakt van Facebook en Twitter. Voor IT-juristen is de uitspraak om twee redenen ook in het bijzonder interessant:

  • Ten eerste wordt in de uitspraak ingegaan op de vraag of een retweet kan leiden tot bewezenverklaring van het delict opruiing. De rechtbank is hierover helder. De Haagse rechters bevestigen de stelregel die op Twitter geldt: ‘a retweet is not an endorsement’.

Zie r.o. 11.22: “De rechtbank onderschrijft dat op Twitter het uitgangspunt geldt: retweet is not endorsement. Dat brengt mee dat het retweeten van een bericht dat op zich als opruiend wordt beoordeeld in beginsel niet strafbaar is ingevolge artikel 131 Sr. Wel valt deze gedraging onder de reikwijdte van artikel 132 Sr. Dat is anders indien uit het commentaar van verdachte bij de retweet blijkt dat hij de inhoud onderschrijft, of wanneer het geretweete bericht past binnen een reeks van berichten van verdachte van dezelfde aard en/of strekking, binnen een bepaalde periode. Hetzelfde geldt ook voor het delen van een hyperlink.”

 Eerder leidde vervolging van een retweet door Bert Brussen over een bedreiging aan Wilders tot een sepot van het Openbaar Ministerie. Echter, indien de retweet gepaard gaat met een opmerking, kan deze gedraging tot bewezenverklaring van het delict opruiing leiden, omdat dan uit de opmerking van de verdachte is af te leiden dat de strafbare inhoud wordt onderschreven. Ook kan sprake zijn van delict opruiing bij retweets indien het geretweete bericht past binnen een reeks van berichten van verdachte van dezelfde strekking, binnen een bepaalde periode.

  • Ten tweede is de zaak voor IT-juristen interessant, omdat het één van de eerste uitspraken betreft waar een oordeel wordt gegeven over het gebruik van bijzondere opsporingsbevoegdheden op internet. In dit geval moesten de rechters vragen beantwoorden omrent de juridische grondslag voor het gebruik van opsporingsmethoden op sociale media diensten. In deze noot wordt op dit tweede aspect van de uitspraak nader in gegaan.

Feiten

In deze zaak heeft de politie een online operatie op touw gezet om een betere informatiepositie op Facebook te verkrijgen en de contacten van de verschillende verdachten en hun specifieke uitingen op internet in beeld te krijgen. De politie heeft informatie via Twitter vergaard door tweets van de verdachten te bekijken en vast te leggen. Deze tweets waren door de verdachten waren gepubliceerd via profielen die voor een ieder toegankelijk waren gemaakt. De politie heeft tevens een Facebookaccount aangemaakt op de naam ‘Aboe Noewas’ en in de periode van 21 juni 2013 tot 1 september 2014 op elke doordeweekse dag berichten, foto’s en video’s op dit profiel geplaatst. Door het plaatsen van deze openbare berichten hoopte de politie in contact te komen met de verdachten onder een geloofwaardige dekmantel. Voor ongeveer een periode van een half jaar (april-augustus 2014) heeft de politie tevens een Facebookaccount onder de naam ‘Ab Bashir’ aangemaakt en gebruikt. Door het aanmaken van het account kon de politie ook kennisnemen van informatie op de Facebookprofielen van de verdachten, voor zover deze profielen voor iedereen toegankelijk waren gemaakt. De politie heeft ook vriendschapsverzoeken gestuurd naar de verdachten om kennis te nemen van de informatie van hun privéprofiel op Facebook. Enkele van deze vriendschapsverzoeken waren succesvol. Tevens heeft een opsporingsambtenaar op verzoek toegang gekregen tot een afgeschermde (werk)groep van de verdachten op Facebook. Opvallend is dat de politie deze onderzoekshandelingen op internet niet goed heeft gedocumenteerd, waardoor niet goed kon worden nagegaan met wie de politie nu precies Facebook-vrienden zijn geworden en welke berichten door de politie zelf zijn verspreid. Zie ook Marcel Haenen & Andreas Kouwenhoven, ‘Infiltratie gelukt, gegevens weg’, NRC.nl.

Digitale opsporing

De politie heeft niet voor alle opsporingsactiviteiten op internet een bevel van de officier van justitie bemachtigd voor de uitvoering van de bijzondere opsporingsbevoegdheid tot stelselmatige informatie-inwinning. De verdediging heeft aangevoerd dat deze bijzondere opsporingsbevoegdheid wel gebruikt had moeten worden in verband met de meer dan geringe privacyinbreuk die bij deze activiteiten zou hebben plaatsgevonden.

De rechtbank is van oordeel dat voor aanmaken van het Facebookaccount en de opsporingsactiviteiten die daarna door de politie zijn uitgevoerd inderdaad een bevel voor het stelselmatig inwinnen van informatie op grond van art. 126j Sv noodzakelijk was. In de operatie heeft een meer dan geringe inbreuk op de persoonlijke levenssfeer van de betrokkenen plaatsgevonden door het bekijken en veilig stellen van de informatie voor een langere periode. Daarbij is ook kennis genomen van (verbanden tussen) de sociale media contacten van de verdachten en de inhoud van die contacten in relatie tot de verdenking. De rechters nemen ook in overweging mee dat zicht werd kregen op activiteiten van de verdachten in het verleden, door het kennisneming van (mogelijk ver) in het verleden geplaatste berichten.

De politie heeft alleen een bevel tot stelselmatige informatie-inwinning van een officier van justitie verkregen voor het versturen van vriendschapsverzoeken aan de verdachten, waarmee toegang kon worden gekregen tot afgeschermde gedeeltes van Facebookpagina’s en het kennisnemen van informatie op de afgeschermde Facebook werkgroep Shaam van de verdachten. Toch wordt door de rechtbank geen sanctie toegekend aan het vormverzuim voor het ontbreken van een bevel voor stelselmatige informatie-inwinning voor de gehele operatie. De rechters nemen in hun overweging mee dat voor het versturen van de vriendschapsverzoeken wel een bevel is bemachtigd en oordelen dat kan worden volstaan met de constatering van het vormverzuim. De rechtbank overweegt verder dat geen sprake is geweest van uitlokking, omdat er geen aanwijzingen zijn dat de uitingen op sociale media oorspronkelijk afkomstig waren van de Facebookpagina’s van de fictieve personen.

In de onderhavige zaak wordt het voor eerst een uitspraak gedaan over de juiste grondslag in het Wetboek van Strafvordering voor opsporingsactiviteiten via sociale mediadiensten. Terecht stellen de rechters vast dat art. 3 Politiewet 2012 slechts een voldoende grondslag vormt voor opsporingsactiviteiten voor zover een geringe inbreuk op het recht op privacy vormt en de risico’s voor de integriteit van de opsporing beperkt blijven. Voor die opsporingsactiviteiten die een meer dan geringe inbreuk op het recht op privacy van de betrokkene opleveren en een risico voor de integriteit van opsporingsonderzoeken met zich mee brengen is toepassing van een bijzondere opsporingsbevoegdheid noodzakelijk. Deze basisnorm is af te leiden uit de wetsgeschiedenis en andere jurisprudentie met betrekking tot opsporingsmethoden. (Zie bijvoorbeeld Kamerstukken II 1996/97, 25 403, nr. 3, p. 110 en 115 en HR 19 december 1995, ECLI:NL:HR:1995:ZD0328, HR 20 januari 2009, ECLI:NL:HR:2009:BF5603, NJ 2009, 225, m.nt. Borgers, HR 13 november 2012, ECLI:NL:HR:2012:BW9338, NJ 2013, 413, m.nt. Borgers en HR 7 juli 2014, ECLI:NL:PHR:2014:623)

In dit geval stellen de rechters vast dat toepassing van de bijzondere opsporingsbevoegdheid van stelselmatige-informatie inwinning op zijn plaats is geweest. Daarbij is het interessant dat de rechters ook expliciet de kennisname van informatie over de sociale media contacten van de betrokkene en de kennisname van berichten die op het profiel in het verleden zijn geplaatst meenemen in hun beoordeling over de zwaarte van de privacy inmenging door de opsporingsmethode.

Het is toe te juichen dat in deze uitspraak zo uitgebreid wordt ingegaan op de juiste grondslag voor de toepassing van opsporingmethoden op internet. De wetgever heeft al eerder duidelijk gemaakt dat bestaande bijzondere opsporingsbevoegdheden ook op internet kunnen worden toegepast (Zie Kamerstukken II 1996/97, 25 403, nr. 3, p. 29 en p. 55 en Kamerstukken II 1998/99, 26 671, nr. 3 p. 36-37) Echter, deze wetsgeschiedenis stamt uit 1997, waardoor onduidelijkheid bestaat over de toepassing van deze bevoegdheden in de huidige internet omgeving. Terecht wordt door de rechters vastgesteld dat voor de interactie met verdachten op internet, in de vorm van vriendschapsverzoeken op Facebook om toegang te krijgen tot privéinformatie op een profiel, de bijzondere opsporingsbevoegdheid voor het stelselmatig inwinnen moet worden toegepast. In dat geval wordt een meer dan geringe inbreuk op de persoonlijke levenssfeer van de betrokkene in het opsporingsonderzoek gemaakt en kan een ‘min of meer volledig beeld van bepaalde aspecten van het privéleven’ van de betrokkene worden verkregen, hetgeen volgens de rechtsgeschiedenis stelselmatigheid en toepassing van de bijzondere opsporingsbevoegdheid voor stelselmatige observatie of stelselmatige informatie-inwinning vereist. (Zie ook Kamerstukken II 1996/97, 25 403, nr. 3, p. 26-27. Zie ook r.o. 5.18. Alhoewel dit criterium meer specifiek is gesteld voor stelselmatige observatie, kunnen de criteria voor het vaststellen van stelselmatigheid bij observatie ook tot op een zekere hoogte worden toegepast voor stelselmatige informatie-inwinning (zie ook r.o. 5.22).

De rechters gaan in deze zaak een stap verder door al vóór het aanmaken van een account toepassing van de bijzondere bevoegdheid te vereisen (zie r.o. 5.27). Daarmee wordt geanticipeerd op opsporingshandelingen die een meer dan geringe inbreuk op het recht op privacy van de betrokkene(n) maken. Mogelijk zou het aanmaken van het nepprofiel ook kunnen plaatsvinden op grond van art. 3 Politiewet 2012, waarbij voor de daadwerkelijke interactie met de verdachte pas de bijzondere opsporingsbevoegdheid van art. 126j Sv wordt toegepast. De aanvang van het moment van interactie met de verdachte(n) zal echter lastig in te schatten zijn. Voor deze meer voorzichtige benadering van de rechtbank Den Haag valt om die reden zeker te pleiten. Overigens zouden opsporingsambtenaren ook hun opsporingshandelingen op internet op grond van art. 3 Politiewet 2012 nauwgezet moeten verbaliseren. De verbalisering van de opsporingshandelingen kunnen vragen van de verdediging beantwoorden over de risico’s van uitlokking waarvan sprake kan zijn bij dit soort undercover opsporingsmethoden (EHRM 4 november 2010, Bannikova v. Russia, nr. 18757/06, § 49-50, EHRC 2015/14, m.nt. F.P.  Ölçer). In deze zaak zijn over de vastlegging van de opsporingsactiviteiten terecht vragen door de verdediging gesteld.

Conclusie

Mijns inziens was een bevel voor het toepassen van de bijzondere opsporingsbevoegdheid tot stelselmatige observatie op grond van art. 126g Sv meer op zijn plaats geweest voor het bekijken en registreren van gedragingen op publieke toegankelijke profielen van Facebook en Twitter. Observatie wordt immers gekenmerkt door het passief waarnemen van gedrag van individuen. Een undercover opsporingsmethode, zoals stelselmatige informatie-inwinning, kenmerkt zich daarentegen door het actief interfereren in het privéleven van de betrokken in een opsporingsonderzoek. Dat laatste vindt plaats bij het communiceren met de verdachten via internet of bij het toevoegen als vriend met de verdachte op Facebook. De rechters beargumenteren overigens dat toepassing van de bijzondere opsporingsbevoegdheid tot infiltratie op grond van art. 126h Sv niet noodzakelijk is geweest, omdat geen strafbare feiten door de opsporingsambtenaren zijn begaan bij het plaatsen van berichten op de Facebookpagina’s van de nepjihadi’s. Mijns inziens was een infiltratietraject echter zo gek nog niet geweest voor de undercoveracties, waarbij ook mogelijk strafbare berichten werden geplaatst door politieambtenaren om de aandacht te trekken van de verdachten.

Tot slot moet nog worden opgemerkt dat binnen het project Modernisering Strafvordering nader wordt onderzocht in hoeverre behoefte is aan de nadere normering voor het vergaren van informatie op internet over verdachten als opsporingsmethode binnen het Wetboek van Strafvordering. Dergelijk onderzoek is nuttig, zo blijkt uit deze uitspraak die aantoont dat onduidelijkheid bestaat over de juridische grondslag voor opsporingsmethoden die via internet worden uitgevoerd. Hoewel men zich kan afvragen of het bekijken en vastleggen van gegevens van personen op publiekelijk toegankelijke gegevens op internet als een aparte bijzondere opsporingsbevoegdheid moet worden geregeld, staat als een paal boven water dat er linksom of rechtsom grote behoefte is aan duidelijkheid over de toepassing van bijzondere opsporingsbevoegdheden op internet. Dit vonnis van de Rechtbank Den Haag geeft alvast enige richting aan het juridisch kader dat van toepassing is op de uitvoering van opsporingsmethoden op internet.

Deze tekst is vergelijkbare vorm verschenen in Computerrecht. De verdachten zijn ook in hoger beroep veroordeeld (Hof Den Haag 7 juli 2016, ECLI:NL:GHDHA:2016:1978).

A warrant requirement for analysing data stored on smartphones

jjoerlemans Een reactie plaatsen

Posted on 28/05/2015

On 22 April 2015, the Dutch high court of Arnhem-Leeuwarden possibly set a precedent with far-reaching consequences. In this particular criminal case, a law enforcement official seized a smartphone and subsequently read and copied WhatsApp messages stored on the smartphone. The defence successfully argued that the investigation method was in violation of the right to privacy as articulated in art. 8 ECHR. The high court of Arnhem-Leeuwarden agreed and deemed the current regulations not foreseeable.

Currently, as explained in my previous blog post, law enforcement officials can seize a smartphone and examine all data stored on it in the context of a criminal investigation to obtain evidence without any notable legal thresholds. However, the high court points out that smartphones contain “not only access to traffic data, but also the contents of communications and private information of a smartphone user” . Because the analysis of such data severely infringes in the right to privacy, the current regulations for seizing and analysing data stored on smartphones are not adequately regulated according to the court.

Right to privacy and analysis of information on smartphones

Indeed, the European Court of Human Rights (ECtHR) recently decided in the case of Prezhdarovi v Bulgaria that (1) a judicial warrant requirement and (2) a limitation of the scope of the sought after data on computers is preferable when law enforcement authorities seize computers and analyse data stored on computers. Considering the serious privacy infringement that takes place when personal data that is stored on computers is analysed by law enforcement authorities, adequate safeguards in the domestic laws of States should protect the involved individuals against arbitrary interferences of State in their personal lives according to the ECtHR.

The decisions of the high court of Arnhem-Leeuwarden and ECtHR indicate that the Dutch regulations for the seizure of computers such as smartphones require amendments in order to adequately protect the right to privacy. In June 2014, the Dutch Ministry of Security and Justice already suggested that amendments were required for analysing data on computer systems. Yet, these amendments only suggested the legal thresholds of an order of a public prosecutor, whereas the ECtHR seems to prefer a prior review of an investigating judge – i.e., basically a warrant requirement – to analyse data on computer systems.

International trend?

Interestingly, almost a year ago, the U.S. Supreme Court decided in the landmark case of Riley v. California that a judge’s warrant is required in order to seize a smartphone and analyse data stored on a smartphone. The protection of the warrant requirement was deemed appropriate, because: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.

Obviously, modern cell phones do not contain the ‘privacies of life’ only for Americans. So tell me, does your domestic State law require a warrant to seize computers and analyse data stored on those devices?

This is a cross-post from LeidenLawBlog.nl.

=== Updata ===

My commentary (in Dutch) on the case of 22 April 2015 is available here (in .pdf).

Note that, in the meantime, the Dutch courts of Oost-Brabant and Noord-Holland desmissed the verdict of the high court of Arnhem-Leeuwarden, stating that article 94 of the Dutch Code of Criminal Procedure allows for the seizure of smartphones and subsequent search of data stored on the device.

The court of Amsterdam decided on 18 June 2015 that art. 8 ECHR was not infringed, because law enforcement restricted the search of data stored on the smartphone to  contact details. Thefefore, the search was not deemed disproportionate. Interestingly, other judges of the court of Noord-Holland decided on 4 June 2015 in a different case that seizing a smartphone based on art. 94 DCCP does infringe art. 8 ECHR. Clearly, the courts in the Netherlands are devided on the question whether seizing a smartphone based on art. 94 DCCP infringes art. 8 ECHR. Apparently, the Public Prosecution’s Office went in appeal and the question will be brought  to the Dutch Surpeme Court.

Strafbaarheid van grooming

jjoerlemans Een reactie plaatsen

Op 11 november 2014 heeft de Hoge Raad een arrest gewezen waarin de strafbaarheid van grooming wordt verduidelijkt (ECLI:NL:HR:2014:3140). In het arrest maakt de Hoge Raad duidelijk dat voor strafbaarheid van grooming vereist is dat de verdachte ‘een ontmoeting voorstelt’ én ‘hij enige handeling onderneemt gericht op het verwezenlijken van ontmoeting’. Daarbij hoeft de ontmoeting niet daadwerkelijk plaats te vinden. Grooming is immers in feite een voorbereidingshandeling (zie ook de aangehaalde wetsgeschiedenis (Kamerstukken II 2008/09, 31 810, nr. 3, p. 9).

In de onderhavige zaak was het voldoende dat de verdachte (i) bij herhaling bij het slachtoffer heeft aangedrongen op een ontmoeting en daartoe heeft voorgesteld elkaar te ontmoeten in het bos, in het winkelcentrum en bij haar thuis, waarbij hij een concrete middag, avond dan wel een tijdstip heeft genoemd; (ii) er bij het slachtoffer herhaaldelijk op heeft aangedrongen dat de ontmoetingen snel zouden plaatsvinden en hij haar onder druk heeft gezet; en (iii) het slachtoffer in het kader van het concretiseren van een afspraak zijn telefoonnummer heeft gegeven.

De advocaat-generaal, AG Spronken, adviseerde de Hoge Raad overigens de zaak over te laten doen. Volgens haar is er meer nodig dan deze handelingen van de verdachte om hem te kunnen veroordelen voor grooming. Om van grooming te kunnen spreken moet er volgens Spronken een concreet voorstel voor een ontmoeting zijn en moet de verdachte iets doen om die ontmoeting te realiseren, zoals bijvoorbeeld  op weg gaan naar de afgesproken plaats. De Hoge Raad heeft met de uitspraak dus een lagere drempel aangehouden dan de AG adviseerde.  

Kort na het arrest van de Hoge Raad heeft de Rechtbank Oost-Brabant op 9 december 2014 een man heeft vrijgesproken van grooming (ECLI:NL:RBOBR:2014:7494). Volgens de rechtbank was slechts sprake was van een poging tot grooming, hetgeen niet strafbaar is. Alhoewel de rechtbank het sturen van seksueel getinte berichten van de docent naar een 15-jarig meisje als ‘uiterst laakbaar’  bestempeld, is voor grooming vereist dat de communicatie zich concretiseert tot een voorstel voor een ontmoeting, gevolgd door gedragingen gericht op het tot stand komen van die ontmoeting. De rechtbank merkt op dat een verdere verschuiving van strafbaarheid naar de voorfase zou betekenen dat het louter versturen van sms-berichten met seksuele toespelingen al strafbaar zou zijn.

Extraterritorial use of policeware in the United States?

jjoerlemans Een reactie plaatsen

Posted on 02/05/2013 on Oerlemansblog

Last week, the story broke that a judge from Texas (United States) had published a decision  (.pdf) denying a warrant for the placement of “policeware” on a computer of an unknown suspect at an unknown location. Policeware is special surveillance software, also called “spyware”, utilized to secretly monitor all kinds of internet activities of a computer user. The decision is interesting because it sheds light on the use of policeware in the United States.

Capabilities of the software

Judge Smith explains that the FBI requested to install “data extraction software” on the “Target Computer” (presumably the computer of a suspect). This software has the capability to search the computer’s hard drive, random access memory, and other storage media (thus perform a “remote search”). Additionally, the software can “activate the computer’s built-in camera, generate latitude and longitude coordinates for the computer’s location and transmit the extracted data to FBI agents in the district”. By installing the software, the FBI wishes to obtain information such as web browsing history, e-mail contents, e-mail contacts, chat logs, photographs and correspondence. The law enforcement agency also wishes to use the built-in camera to make photographs to identify the person using the target computer.

Extraterritorial application of a warrant to install policeware

The Texan judge then ascertains whether the request complies with the warrant requirements as described in Rule 41 of the U.S. Federal Rules of Criminal procedure. This blog post does not allow to me elaborate on the judge’s decision and the requirements of a “Rule 41 warrant”, but I do want to point out that the judge establishes that Rule 41 only allows for searches “in the district of the judge”. In this case the territoriality requirement is not met, because the search does not take place within the district, “so far as the Government’s application shows”, according to the judge. Note the judge’s witty remark that the search takes place: “not in the airy nothing of cyberspace, but in the physical space with a local habitation and a name”.

U.S. digital surveillance expert Orin Kerr analyzed the court decision of judge Smith on the popular legal blog “The Volokh Conspiracy”. I found his considerations about the applicability of the warrant requirement on a potentially foreign suspect particularly fascinating. It is standing case law (under United States v. Verdugo-Urquidez, 494 U.S. 259 (1990) that the warrant requirement of the Fourth Amendment of the U.S. Constitution does not apply outside the United States. Since it is likely the physical computer will be searched overseas (because the last known IP address is traced back somewhere in Southeast Asia), the government does not need a warrant to search the physical computer. However, Kerr believes the search also takes place in the United States when the information is analyzed by U.S. law enforcement officials and therefore a warrant is required “for that part of the search that takes place in judge Smith’s home district”.  Kerr ultimately finds the arguments presented by judge Smith to deny the warrant unconvincing.

Conclusion

Kerr’s analysis of the case begs the question: is it desirable that the United States could potentially perform searches of computers and install policeware on computers in foreign territory by unilaterally applying their criminal procedural rules to foreigners? If the answer is no, keep in mind that the Dutch government suggested more or less the same thing on p. 34-35 in their announcement today (in Dutch) to amend the Dutch Code of Criminal Procedure to make hacking and the placement of spyware possible on computers “if their location is unknown” (see also this blog post).

I’m curious to hear from international criminal law legal experts and others as to what they think of this.

This is a cross post from LeidenLawBlog.nl.

Hoge Raad roept OM terug over uitbreiding begrip virtuele kinderporno

jjoerlemans Een reactie plaatsen

Posted on 15/04/2013 on Oerlemansblog

De Hoge Raad heeft op 12 maart 2013 arrest gewezen in een zaak over het bezit van virtuele kinderpornografie (HR 12 maart 2013, ECLI:NL:HR:2013:BY9719). De zaak gaat over de reikwijdte van de strafbaarstelling van kinderpornografie (strafbaar gesteld in artikel 240b van het Wetboek van Strafrecht).

Het Openbaar Ministerie betoogde dat het verbod op bezit van kinderporno zich ook strekt over alle afbeeldingen die “niet evident levensecht zijn”. Volgens het Openbaar Ministerie en de advocaat-generaal is het ook de bedoeling van de wetgever geweest om “aanmoediging of verleiding van kinderen tot deelneming aan seksueel gedrag” met de strafbaarstelling van virtuele kinderporno strafbaar te stellen. Slechts “daadwerkelijk creatieve en kunstzinnige afbeeldingen” dienen van de strafbaarstelling te worden uitgezonderd. Volgens mij zou de interpretatie argumenten geven om bijvoorbeeld niet realistische tekeningen, schilderijen en cartoons met seks met minderjarigen onder het begrip kinderpornografie te laten vallen.

De Hoge Raad bevestigt een eerdere uitspraak van het Hof Den Bosch en geeft aan dat de afbeeldingen in die zaak op de computer gemaakt zijn en een “artificieel karakter”  hebben waardoor ze niet onder de definitie van kinderporno vallen. “Daarvoor is immers nodig dat de afbeelding schijnbaar levensechte kinderporno verbeeldt” (..) “Het morele gehalte van deze afbeeldingen kan hieraan niet afdoen”, aldus het Hof Den Bosch. Het hof benadrukt dat in slechts 3 gevallen van kinderporno sprake is: (1) een afbeelding van een echt kind; (2) een afbeelding van een echt persoon die eruit ziet als een kind; (3) een realistische afbeelding van een niet bestaand kind.

De Hoge Raad is het niet eens met het Openbaar Ministerie en de advocaat-generaal dat op basis van internationaal recht onder kinderpornografie ook niet realistische afbeeldingen van niet-bestaande kinderen moet worden verstaan. De wetgever is duidelijk geweest in haar bedoelingen en het begrip kan niet zonder een wetswijziging worden uitgebreid.

De zaak bevestigt indirect de uitspraak van het Hof Arnhem van 12 april 2012 (LJN BW3415, 21-000016-11), waarin wordt aangegeven dat Hentai-afbeeldingen (Japanse erotische cartoons in Manga-stijl) geen realistische afbeeldingen zijn en dus (vooralsnog) niet als kinderpornografie kan worden gekwalificeerd. Het arrest schept in ieder geval weer wat duidelijkheid over wat nu wel en niet onder virtuele kinderporno moet worden verstaan.

Is a decryption order a good idea?

jjoerlemans Een reactie plaatsen

Posted on 14/12/2012 on Oerlemansblog

In December 2010, the Robert M.-case shocked the Netherlands. Robert M. was prosecuted and convicted for the sexual abuse of 67 children, of which many were younger than 3 years old. During the investigation the police found that the suspect used high grade encryption, impossible to crack without using the proper key. Fortunately for the police and public prosecutor, Robert M. gave up his key voluntarily. Other suspects derived from the Robert M-case did not cooperate so well. This led Members of the Parliament to call for a so-called ‘decryption order’, by way of which suspects could be forced to give up their key. The Minister of Safety and Justice commissioned research into the feasibility of decryption orders in the light of the right against self incrimination. About two weeks ago the research was published and it concluded that theoretically it is possible to regulate the decryption order. As a result, the Minister of Safety and Justice enthusiastically announced (in Dutch) the preparation of new regulations to make decryption orders possible in cases of child pornography and terrorist crimes. However, in my opinion, we should think twice before going down this path.

The decryption order

Prof. Koops of Tilburg University conducted thorough and in my view excellent research (.pdf in Dutch) into decryption orders. Both the technical and legal aspects were taken into consideration and a legal comparison was made from many different countries. An English summary of the report can be found here (.pdf). The author suggests that a decryption order (under threat of a criminal sentence) is legally possible, but only under stringent conditions. For example, the order could only be given in cases in which there are clear indications that the suspect is hiding something by using encryption.

Proving that the suspect probably used encryption to hide his criminal activities may be difficult, especially when certain encryption programs such as ‘TrueCrypt’ are used. The report warns that decryption orders may advance the use of such programs among criminals. In Great Britain (obviously a much bigger country than the Netherlands), governmental power was successfully used in only a handful of cases per year. What I found even more interesting is that public prosecutors were very skeptical about the practical uses of this governmental power. They preferred obtaining the key using alternative methods, namely by intercepting keys remotely via the Internet. The author of the report does not deny that this is an interesting and feasible alternative route to take, but suggests that legislator should choose between the two. Instead, the Ministry of Safety and Justice suggests in his letter we should do both.

Note that the ‘solution’ of a decryption order is limited to accessing data stored on a device at a different phase of a criminal investigation. An important argument for using alternative methods, more concretely the use of hacking, spyware and bugs as investigatory methods, is that they also aid law enforcement in dealing with the growing problem of the encryption of communications (not just stored data) and avoids the active cooperation of suspects in their own criminal case.

The least privacy infringing solution for the encryption problem?

The decryption order is considered by some (including prof. Koops) as the least privacy intrusive solution for the encryption problem. I dare to disagree. The solution of a ‘decryption order’ may be more far-reaching than most people think. As suggested in the report, it should include disabling the security measures on all computer devices, such as laptops, tablet computers and smartphones. It also may be possible for the government to force civilians to hand over passwords to access online social media services, webmail services and personal online storage services.

Forcing civilians under a criminal sanction to actively help law enforcement by providing them with access to their own data is incredibly intrusive and would be new to the criminal law system. The fact it may be theoretically possible to regulate a decryption order under the threat of a criminal sanction does not mean that we should.

Het ‘einde’ van een ongefilterd internet?

jjoerlemans Een reactie plaatsen

Posted on 15/01/2012 on Oerlemansblog

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. Een kleine waarschuwing vooraf: ik kies geen duidelijk partij voor of tegen blokkeringsmaatregelen, maar ik wil slechts enkele overwegingen meegeven.

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het – op dit moment – blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteunt en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen laat de zaak het handhavingstekort op internet duidelijk zien. Zelfs na civiel en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-sites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muis spel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de website bij access providers te doen blokkeren. De stichting blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay blijft in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier blijft de norm duidelijk waar aan mensen zich moeten houden. Met wetten wordt een bepaald doel nagestreefd. Handhavende instanties zullen met betrekking tot internet redeneren dan wanneer blijkt dat het niet goed mogelijk is door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door de intermediaren te reguleren.

Mensen vergeten nog al eens dat de beheerders van The Pirate Bay in het binnen- en buitenland reeds verschillende malen zowel civiel- als strafrechtelijk zijn veroordeeld.

Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, gestolen persoonsgegevens of creditcards, het aansturen van malware, etc. Niet alle illegale websites rechtvaardigen een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat de illegale activiteiten door kunnen gaan toevallig omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat dit de ‘aard van het internet’ wordt veranderd? Ook nu worden spam en IP-adressen door internet providers toch soms geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt er wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn.

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om (wederom) kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert (en beslissingen neemt) in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de zorgvuldigheid van de handhavende particulieren en autoriteiten.

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filterverplichting voorbij gekomen. Op dit moment kunnen opsporingsambtenaren – net als iedereen – slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Belangrijk in de context van dit bericht is dat het Notice and Take Down bevel ook aan acces providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. Dit komt in essentie neer op een filterverplichting à la The Pirate Bay. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook de Notice and Take Down maatregel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar duidelijk een signaal wordt gegeven dat blokkeringsmaatregelen door internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden verwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover een DNS-filter, omdat het het ‘open internet’ bedreigt. In het Kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is in December 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden.

Tenslotte kan nog worden gewezen over te nemen filtermaatregelen in verband met illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kanspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en hier over Frankrijk. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door rechters blijkbaar al afgeschoten.

Conclusie

In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en de maatregel voor het ene delict is misschien meer te zeggen dan voor het andere. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we dat in toenemende mate via internet providers willen doen.

Van belang is dat we zeer kritisch naar dergelijke maatregelen kijken, omdat het de internetbeleving van burgers anders maakt en het internet op termijn er wellicht door versplinterd raakt. Wat mij betreft kunnen de maatregelen alleen als ultimum remdium, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen.

Artikel Toxbot-zaak

jjoerlemans Een reactie plaatsen

Posted on 20/05/2011 op Oerlemansblog

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest is de gelijkstelling van het besmetten van computers met malware aan het delict computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van computervredebreuk op het moment dat een de besmette computer contact maakt met een command-and-control server dat een botnet aanstuurt of via een ‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr (computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en het verrichten van transacties via online betalingsdiensten als PayPal als een dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren door een DDoS-aanval wordt verstoord en mensen niet meer online transacties kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord, omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel 161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen internetbankieren bij een bepaalde bank zou artikel 161sexies óók van toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de nadelige effecten die optreden indien de infrastructuur van de dienstverlener wordt vernield of beschadigd, en dient niet ter bescherming van de vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar onze mening wordt het artikel in deze variant daarom veel te extensief geïnterpreteerd.

Het arrest komt de rechtszekerheid niet ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn in de toepassing van de verschillende delicten op een feitencomplex zoals in de Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke verwatering in het onderscheid tussen de verschillende typen delicten plaats.  

(Citeertitel: J.J. Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets’, Nederlands Juristenblad 2011, vol. 86, nr. 18, pp. 1181-1185).

High Tech Crime in de polder

jjoerlemans Een reactie plaatsen

Posted on 23/02/2011 op Oerlemansblog

Op 22 februari 2011 is het arrest (ECLI:NL:HR:2011:BN9287) van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar. 

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.