Tag Computervredebreuk

Cybercrime jurisprudentieoverzicht mei 2023

jjoerlemans

Hoge Raad wijst nieuw arrest over computervredebreuk

Op 18 april 2023 heeft de Hoge Raad een arrest gewezen (ECLI:NL:HR:2023:610) in een zaak over computervredebreuk (artikel 138ab Sr) en medeplegen voor het bekend maken gegevens die door misdrijf zijn verkregen vanaf de server van het bedrijf (artikel 273 Sr).

Het Hof Den Haag overwoog in haar arrest (ECLI:NL:GHDHA:2021:570) dat de verdachte ongeveer vijftien jaar werkzaam is geweest als boekhouder/financial controller voor het bedrijf dat slachtoffer is geworden van computervredebreuk. Hij beschikte over inloggegevens om toegang te kunnen krijgen tot de server van het bedrijf. De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij meerdere malen met zijn eigen inloggegevens heeft ingelogd op de server van het bedrijf en bestanden heeft gedownload met als het doel deze gegevens zou gaan inbrengen in het hoger beroep van diens gerechtelijke ontslagprocedure.

Het Hof overweegt dat niet ter discussie staat dat het downloaden van bedrijfsgegevens om deze vervolgens in te kunnen (doen) brengen in een gerechtelijke procedure van een derde tegen op geen enkele wijze behoort tot de tussen het bedrijf en de verdachte overeengekomen werkzaamheden en dat daartoe geen toestemming is verleend. De verdachte heeft evenmin het bedrijf om die toestemming gevraagd, laat staan geïnformeerd omtrent zijn voornemen dit te gaan doen.

Dat maakt dat het hof van oordeel is dat op de momenten dat de verdachte inlogde op de server van het bedrijf hij de hem ter beschikking staande inloggegevens gebruikte voor een ander doel dan waarvoor deze hem ter beschikking waren gesteld, zodat deze op dat moment als valse sleutel kwalificeerden. Op die momenten was derhalve sprake van binnendringen in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht. Dit oordeel geeft volgens de Hoge Raad geen blijk van een onjuist rechtsopvatting.

Met betrekking tot het verweer of sprake is van een noodtoestand stelt het hof voorop dat slechts in uitzonderlijke omstandigheden een beroep op noodtoestand kan worden gehonoreerd. De te nemen drempel is bijzonder hoog: “uitzonderlijke gevallen kunnen meebrengen dat gedragingen die door de wetgever strafbaar zijn gesteld, niettemin gerechtvaardigd kunnen worden geacht, onder meer indien moet worden aangenomen dat daarbij is gehandeld in noodtoestand, dat wil zeggen – in het algemeen gesproken – dat de pleger van het feit, staande voor de noodzaak te kiezen uit onderling strijdige plichten en belangen, de zwaarstwegende heeft laten prevaleren” (met verwijzing naar HR 23 juli 2011, ECLI:NL:HR:2011:BP5967). Het hof is van oordeel dat toepassing van deze strenge maatstaf maakt dat het beroep op noodtoestand niet kan worden gehonoreerd. Het op verzoek bijstaan van een collega in een ontslagprocedure heeft niet te gelden als een zodanig zwaarwegend belang dat dit het overtreden van de strafwet zou rechtvaardigen. Ook dit acht de Hoge Raad geen onbegrijpelijk oordeel.

Veroordeling voor oplichting en phishingpanels

Op 3 april 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:4676) gedaan over een phishing-zaak. De zaak bespreek ik hier uitgebreid, omdat de overwegingen interessante feiten bevatten over de modus operandi bij deze vorm van cybercriminaliteit en over het opsporingsproces.

De verdachte werd het volgende ten laste gelegd:

  1. medeplegen van het verwerven en voorhanden hebben van betaalfraudepanels, zijnde technische hulpmiddelen bedoeld om onder meer computervredebreuk mee te plegen;
  2. medeplegen van oplichting van in elk geval 1.183 personen, erin bestaande dat de slachtoffers zijn bewogen onder meer hun inloggegevens voor internetbankieren ter beschikking te stellen nadat zij naar een phishing website waren geleid;
  3. medeplegen van computervredebreuk;
  4. diefstal met valse sleutel, in vereniging gepleegd, van in elk geval 13 personen, door met de inloggegevens van de slachtoffers in te loggen op hun internetbankieromgeving en vervolgens bedragen van hun bankrekeningen weg te nemen;
  5. medeplegen van gewoontewitwassen van een bedrag van in ieder geval € 420.000,-;
  6. medeplegen het voorhanden hebben van een grote hoeveelheid gegevens (‘entries’), bedoeld om onder meer computervredebreuk mee te plegen;
  7. deelname aan een criminele organisatie, gericht op het plegen van voormelde strafbare feiten.

Deze zaak gaat het over zogeheten betaalfraudepanels, ook wel ‘phishingpanels’ genoemd. Phisingpanels zijn software waarmee het mogelijk is om websites te maken die nagenoeg gelijk zijn aan de inlogpagina’s van de internetbankieromgeving van banken. Voor de beheerder van het panel is het mogelijk om met op die websites ingevoerde gegevens, zoals bijvoorbeeld bankrekeningnummer, pasnummer en autorisatiecodes, de controle te krijgen over bankrekeningen en daarmee betalingen te doen. Met de term phishing wordt geduid op een vorm van fraude waarbij een slachtoffer wordt verleid om bepaalde gegevens te delen, vaak door op een link te klikken die het slachtoffer via mail, sms of WhatsApp heeft ontvangen. De werkwijze van de verdachten was als volgt. Hun werkwijze was als volgt. De verdachte en zijn mededaders leidden hun slachtoffers via sms-berichten of advertenties op Google naar nepwebsites, die leken op de inlogpagina’s van hun bank. Nadat de slachtoffers daar hun inloggegevens hadden ingevoerd, logden de verdachte en zijn mededaders daarmee heimelijk in op de internetbankieromgeving van de slachtoffers. Vervolgens werden de slachtoffers via de nepwebsite bewogen ook hun aanmeldcode in te voeren, waarna de verdachte en zijn mededaders geldbedragen van de bankrekeningen van de slachtoffers konden wegnemen. Dit deden zij door geldbedragen van de bankrekeningen van de slachtoffers om te zetten in cryptovaluta of over te maken naar bankrekeningen van derden (zogenoemde geldezels).

Aanleiding onderzoek

Het onderzoek naar de verdachte vloeit voort uit het onderzoek ‘Sauer’ dat was gericht op [verdachte 2], die gebruik maakte van de gebruikersnaam ‘Haiku’. [verdachte 2] werd onder meer verdacht van het ontwerpen van betaalfraudepanels. Op zijn computer zijn twee Telegram-conversaties aangetroffen. Een gesprek met ‘Guru 3.147’ en een groepsgesprek genaamd ‘Andere Saus 2.0’ waaraan die Haiku deelnam met twee andere personen: ‘Guru 3.147’ en ‘LazyLinks’. In de chat tussen Haiku en Guru werd veelvuldig gesproken over een betaalfraudepanel, dat door Haiku zou worden ontworpen en door Guru zou worden aangeschaft. In de groepschat Andere Saus 2.0 werd gesproken over het plegen van fraude met behulp van een betaalfraudepanel door Haiku, Guru en LazyLinks. Gezien het vermoeden dat ook Guru en LazyLinks zich bezighielden met grootschalige digitale fraude, heeft de politie onderzoek gedaan naar de personen die achter deze gebruikersnamen schuil gingen. Dit mondde uit in het onderzoek ‘Weezing’. Door informatie uit de Telegram-conversaties te koppelen aan onder meer open bronnen, kwam [verdachte 3] in beeld als Guru 3.147 (ook wel ‘DmpG’ of ‘Bonkara’). Op dezelfde wijze kwam de verdachte in beeld als ‘LazyLinks’ (ook wel ‘Lazy’ of ‘.’). Op een onder [verdachte 3] in beslag genomen telefoon werden weer andere Telegram-conversaties aangetroffen, met ene ‘Ano 020’ (ook wel ‘Jerry V2.0’). Hierachter bleek [verdachte 4] schuil te gaan.

Netwerkzoeking en veiligstellen van bewijs

Na de aanhouding van [verdachte 2] heeft de politie op 24 december 2020 ingelogd op het panel op https://wemoeteneten.online en daar een lijst met ‘entries’ veiliggesteld, die de periode bestrijkt van 20 september 2020 tot en met 24 december 2020.6 Later, na de aanhouding van [verdachte 3] op 13 juli 2021, heeft de politie vanaf zijn telefoon bestanden met loggegevens van het panel veiliggesteld. Deze logbestanden bestrijken de periode van 20 september 2020 tot en met 2 juli 2021.

Uit onderzoek van de entries en de logbestanden is gebleken dat zowel [verdachte 2] (Haiku), [verdachte 3] (Guru), [verdachte 4] (Ano020) als de verdachte (LazyLinks) op enig moment toegang had tot het panel en daarvan gebruik heeft gemaakt.

Verklaring werkwijze door verdachte

Nadat de verdachte zich eerst op zijn zwijgrecht heeft beroepen, heeft hij op 1 april 2022 in een politieverhoor erkend dat hij de persoon is die schuil gaat achter de aliassen zoals ‘LazyLinks’, ‘Lazy’.  De verdachte heeft verder een grotendeels bekennende verklaring afgelegd. Uit onderzoek door de politie naar de werking van het betaalfraudepanel komt het volgende naar voren. Het panel betreft een webapplicatie waarmee het mogelijk is om sms-berichten te versturen, vermoedelijk met het doel personen via een link naar de nagemaakte Itsme-pagina te leiden. Wie zo’n link opent krijgt een webpagina te zien die de indruk wekt dat dit een service van Itsme.be betreft. Op deze pagina wordt gevraagd om een bank te selecteren. Wie voor Axa, Argenta, Belfius, BNP, ING of KBC kiest krijgt daarna een webpagina te zien waarbij een debetkaartnummer wordt gevraagd en de vervaldatum. Op de pagina wordt het logo van de bank gebruikt en het logo van Itsme, waardoor het lijkt alsof de bezoeker wordt doorgestuurd naar de bankwebsite vanuit Itsme. De gegevens die op deze webpagina worden ingevoerd komen terecht bij de gebruiker van het betaalfraudepanel. De gebruiker van het betaalfraudepanel kan vervolgens met deze gegevens proberen in te loggen op de echte bankwebsite. Bij het inloggen wordt om een verificatiecode oftewel aanmeldcode, gevraagd. De gebruiker van het panel vraagt vervolgens aan de bezoeker van de nagemaakte Itsme-pagina om de aanmeldcode te genereren via diens kaartlezer. Op deze manier kan de gebruiker van het betaalfraudepanel inloggen op het bankaccount van de bezoeker van de nagemaakte Itsme-pagina.

[verdachte 3] heeft aan de politie verklaard dat hij via Telegram lijsten met telefoonnummers van voornamelijk klanten van Belgische banken had gekocht. Naar die telefoonnummers stuurde hij een sms-bericht waarin stond dat het beoogde slachtoffer zijn of haar Itsme-account opnieuw moest activeren, met daarbij een frauduleuze link. Later is [verdachte 3] op Telegram in contact gekomen met een persoon met de gebruikersnaam ‘EXP’, die ervoor kon zorgen dat een link naar de nepwebsite voor een bepaalde periode als advertentie bovenaan de Google zoekresultaten zou verschijnen, wanneer bepaalde trefwoorden in Google werden ingevoerd, zoals ‘Argenta’ of ‘Bpostbank aanmelden.

Uit de Telegram-groepschat ‘Andere Saus 2.0’, waaraan de verdachte, [verdachte 3] en [verdachte 2] deelnamen, blijkt dat zij beurten verdeelden wanneer een potentieel slachtoffer op een frauduleuze link had geklikt. Wanneer op de hiervoor omschreven wijze toegang was verkregen tot de internetbankieromgeving van een slachtoffer, werd geprobeerd geld van de bankrekening van het slachtoffer over te maken naar de bankrekening van derden. Deze derden, zogenoemde geldezels, waren personen die [verdachte 3] had gevonden via tussen personen die hij kende van Telegram, schuilgaande onder de gebruikersnamen ‘Phantom’ en ‘3AKABOUZ’. Ook werd geprobeerd om met banktegoeden van slachtoffers cryptovaluta te kopen bij Bitvavo of Litebit, die ten bate kwam van de cryptowallet van een geldezel. Phantom en 3AKABOUZ kregen voor het aanleveren van de geldezels een vergoeding van 50% van de opbrengst van de fraude. De resterende 50% werd verdeeld tussen [verdachte 3], de verdachte en de derde persoon ( [verdachte 4] dan wel [verdachte 2] ). Zij kregen dus een zesde deel van de totale opbrengst. Dit werd uitbetaald als cryptovaluta in hun eigen wallet. [OJ(J3] 

Gedeeltelijke vrijspraak en bewezenverklaring

De rechtbank overweegt dat uit die chatberichten blijkt weliswaar van enige betrokkenheid van de verdachte, maar de rechtbank kan op basis van die chatberichten alleen niet buiten redelijke twijfel vaststellen dat de verdachte dat eerste betaalfraudepanel ook daadwerkelijk heeft verworven of voorhanden gehad. De rechtbank zal de verdachte dan ook vrijspreken met betrekking tot deze periode en de betrokkenheid van verdachte bij het eerste betaalfraudepanel. Wel acht de rechtbank bewezen dat de verdachte tezamen en in vereniging met anderen een betaalfraudepanel heeft verworven en voorhanden gehad.

Door het bedienen van het betaalfraudepaneel en versturen sms-berichten met frauduleuze links heeft de verdachte zich schuldig gemaakt aan oplichting. Ook acht de rechtbank het rechtbank wettig en overtuigend bewezen dat de verdachte zich tezamen en in vereniging met anderen schuldig heeft gemaakt aan diefstal in vereniging met behulp van een valse sleutel van geldbedragen tot een totaal € 48.050,64.

Met de door middel van oplichting verkregen gegevens is door de verdachte en zijn mededader(s) ingelogd op de internetbankieromgeving van de hierboven genoemde slachtoffers, alvorens de genoemde geldbedragen te stelen. Daarmee is binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de servers van de beveiligde internetbankieromgeving van de bank. Nu de verdachte en zijn mededader(s) dat hebben gedaan met inloggegevens tot het gebruik waarvan zijn niet bevoegd waren, en door zich voor te doen als geautoriseerde klanten van de bank, is sprake van een valse sleutel en een valse hoedanigheid.

Witwassen en cryptocurrencies

De verdachte heeft verklaard dat deze geldbedragen van de bankrekeningen van slachtoffers werden overgemaakt naar de bankrekeningen van derden, dan wel dat daarmee cryptovaluta werden gekocht ten bate van de cryptowallets van derden, alvorens de verdachte en de anderen delen van de opbrengst zelf in de vorm van cryptovaluta in hun wallet binnenkregen. De verdachte wist dat dit geld uit misdrijf afkomstig was, immers heeft hij die misdrijven zelf (mede)gepleegd. Door de geldbedragen over te maken naar andere bankrekeningen en daarna als cryptovaluta aan zichzelf en zijn mededaders te laten uitbetalen, of deze direct om te zetten in cryptovaluta en een deel naar zijn wallet en de wallets van zijn mededaders over te boeken, heeft hij de herkomst van deze geldbedragen verhuld. Daarmee heeft de verdachte zich (ook) tezamen en in vereniging schuldig gemaakt aan het witwassen van een geldbedrag van in totaal € 48.050,64. Het dossier biedt aanknopingspunten dat veel geldbedragen zijn buitgemaakt. Echter, anders dan bij [verdachte 3] en [verdachte 4], is bij de verdachte geen nader onderzoek gedaan naar zijn eigen bankrekeningen of cryptowallets, waaruit zou kunnen blijken dat hij over (aanzienlijke) vermogensbestanddelen beschikt. Gelet op dit alles kan de rechtbank niet met voldoende zekerheid en nauwkeurigheid vaststellen dat de verdachte zich schuldig heeft gemaakt aan het witwassen van meer dan € 48.050,64.

De rechtbank oordeelt ook de verdachte heeft deelgenomen aan een criminele organisatie. De rechtbank oordeelt dat de in de tenlastelegging genoemde ‘Phantom’, ‘Exp’ en ‘3AKABOUZ’ wel een bijdrage hebben geleverd aan het plegen van de misdrijven waarop de organisatie was gericht, maar dat het dossier onvoldoende aanknopingspunten biedt om vast te stellen dat zij hebben deelgenomen aan deze organisatie.

Straf

Op vrijwillige basis is de verdachte begonnen met een psychologisch behandeltraject bij behandelcentrum Fier. Daar is hij gediagnostiseerd met PTSS, een paniekstoornis, een ongespecificeerde persoonlijkheidsstoornis, een stoornis in cannabisgebruik en problemen verband houdend met justitiële maatregelen. Gezien de door behandelcentrum Fier vastgestelde DSM-5 diagnose staat de reclassering negatief tegenover de oplegging van een gevangenisstraf. Voor een taakstraf ziet de reclassering geen contra-indicaties. De rechtbank ziet in het voorgaande aanleiding om af te wijken van het genoemde uitgangspunt van een onvoorwaardelijke gevangenisstraf voor de duur van een jaar. De rechtbank legt ook een taakstraf van 360 uur op en de verdachte moet een schadevergoeding betalen.

Veroordelingen voor bankhelpdeksfraude

Op 28 maart 2023 veroordeelde de rechtbank Limburg enkele verdachten voor bankhelpdeskfraude (ECLI:NL:RBNNE:2023:476). Bankhelpdeskfraude is een vorm van oplichting waarbij de daders zich voordoen als bankmedewerkers.

De aangiften van een slachtoffer uit Brunssum en Valkenburg vormden het startpunt van een opsporingsonderzoek dat zich richtte op zogeheten bankhelpdeskfraude. Al snel bleken er op diverse plaatsen in Nederland soortgelijke feiten gepleegd te zijn en werd het onderzoek van de politie uitgebreid. De verdachte en medeverdachte zijn in dit onderzoek als mogelijke daders naar voren gekomen. De rechtbank ziet zich voor de vraag gesteld of bewezen kan worden dat de verdachte als (mede)dader betrokken is geweest bij in totaal 19 zaken van bankhelpdeskfraude.

Uit de bewijsmiddelen leidt de rechtbank af dat in een periode van enkele maanden op verschillende plekken in Nederland soortgelijke gevallen van zogenoemde bankhelpdeskfraude hebben plaatsgevonden. De verdachte heeft bekend dat hij bij vijf van deze gevallen van bankhelpdeskfraude betrokken is geweest. Dit zijn de feiten waarbij hij ook op camerabeelden is herkend. De verdachte ontkent zijn betrokkenheid bij de andere feiten. Na uitgebreide bewijsoverwegingen acht de rechtbank de verdachte schuldig aan oplichting.

De verdachte en/of een van zijn mededaders heeft telefonisch contact gezocht met de beoogde slachtoffers. Aan de slachtoffers werd telkens voorgehouden dat de bank had ontdekt dat er mogelijk fraude werd gepleegd met de bankrekening van de slachtoffers en aan hen werd de helpende hand geboden. Zo hebben verdachte en zijn mededaders het vertrouwen van de slachtoffers gewonnen. Door leugens en verzinsels hebben de daders de slachtoffers ertoe gezet om hun bankpassen en bijbehorende pincodes af te staan. Met de aldus verkregen bankpassen en pincodes werd er vervolgens in rap tempo geld gepind en goederen aangeschaft. Tegen de tijd dat de slachtoffers erachter kwamen dat er iets niet in orde was, was het leed al geschied.

De rechtbank neemt het de verdachte kwalijk dat hij, samen met anderen, op zulke doortrapte en slinkse wijze geld afhandig heeft gemaakt van vele slachtoffers. Slachtoffers die overigens niet willekeurig werden uitgekozen. Integendeel. Zij werden gekozen op basis van overlijdensadvertenties. Het ging dan om mensen op hoge leeftijd, die kort daarvoor hun partner verloren waren. Hun (verdere) gegevens werden erbij gezocht en benaderd.

De rechtbank neemt het de verdachten zeer kwalijk dat zij welbewust kozen voor deze kwetsbare slachtoffers. Verdachte en zijn mededaders waren kennelijk maar uit op één ding: snel, veel geld verdienen, waarbij op geen enkele wijze oog is geweest voor de kwetsbaarheid en de belangen van de slachtoffers. Door hun geraffineerde wijze van oplichting hebben verdachte en zijn mededaders niet alleen geld van de slachtoffers afgenomen, maar ook hun gevoel van vertrouwen en veiligheid, zoals ook blijkt uit de aangiftes van de slachtoffers.

Gelet op de ernst van de feiten die de verdachte heeft gepleegd, het aantal slachtoffers en de slinkse wijze van handelen, kan naar het oordeel van de rechtbank niet worden volstaan met een andere straf dan een vrijheidsbenemende straf die de duur van het reeds ondergane voorarrest overschrijdt.

De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 30 maanden, waarvan 15 maanden voorwaardelijk en tot het betalen van een schadevergoeding.

Ook de rechtbank Noord-Holland veroordeelde (ECLI:NL:RBNNE:2023:476) op 7 februari 2023 een verdachte voor oplichting. In deze zaak over bankhelpdeskfraude volgt uit de aangiftes dat de slachtoffers waren door een zogenaamde bankmedewerker, met de mededeling dat er een probleem was met hun bankrekening. Zo zou er geld zijn afgeschreven door iemand anders of zou dit zijn geprobeerd.

Aangevers zouden de ‘bankmedewerker’ vervolgens moeten helpen om dit probleem op te lossen, waarvoor ze een Remote Acces Tool (RAT) zoals ‘Anydesk’ moesten installeren zodat de ‘bankmedewerker’ kon meekijken in de internetbankierenomgeving. Uiteindelijk werd er geld overgemaakt door aangever of door de ‘bankmedewerker’ naar een andere rekening, terwijl aangevers hierover niet meer konden beschikken.

In de zaak zitten veel digitale bewijsmiddelen. De rechtbank stelt vast dat de telefoonnummers en de telefoons die zijn gebruikt bij ten laste gelegde feiten, op verschillende manieren zijn te herleiden naar verdachte. Deze telefoonnummers stralen veelal masten aan in Assen, waar verdachte woonachtig is. Het telefoonnummer dat verdachte privé gebruikte telefoonnummer was blijkens de mastgegevens zeer vaak in de directe omgeving van een telefoon waarmee de telefoongesprekken met aangevers en andere potentiële slachtoffers werden gevoerd. Daarnaast is er door middel van een IMSI-catcher gebleken dat een van de aan verdachte te koppelen telefoons aanwezig was bij zijn woning aan een adres in Assen.

Uit de camerabeelden en telefoongegevens die vervolgens zijn verkregen, is gebleken dat verdachte thuis was op het moment dat er telefoongesprekken werden gevoerd. Op een datum is waargenomen dat deze gesprekken stopten toen verdachte zijn woning kort verliet en dat de gesprekken vervolgens werden hervat toen verdachte weer thuis was. Er zijn geen andere personen gezien op de camerabeelden.

Ook beschikte verdachte over PayPal-accounts die zijn gelinkt aan fraude. Op een van de telefoons van verdachte die zijn onderzocht zijn ook aanwijzingen gevonden die duiden op betrokkenheid bij bankhelpdeskfraude. Er zijn lijsten aangetroffen met duizenden telefoonnummers, zogeheten ‘leads’, die veelal worden gebruikt door (cyber)criminelen om mensen op te lichten. Op diezelfde telefoon zijn ook actieve groepschats op de applicatie Telegram gevonden, waarin werd gehandeld in merkkleding, creditcards, pinpassen en phishing-panels. Deze aangeboden goederen zijn doorgaans van misdrijf afkomstig of kunnen gebruikt worden bij het plegen van misdrijven.

De rechtbank overweegt dat de verdachte zich met anderen gedurende vier maanden schuldig gemaakt aan bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van ongeveer € 300.000. De rechtbank veroordeeld de verdachte voor 54 maanden gevangenisstraf. Ook moet de verdachte onder andere een schadevergoeding betalen aan de Rabobank van € 257.371,33.

Veroordeling voor ponzifraude met crypto’s

Op 20 maart 2023 veroordeelde de rechtbank Overijssel een verdachte voor een zogenoemde ‘ponzifraude’ (ECLI:NL:RBOVE:2023:991). In deze strafzaak staat het strafrechtelijk onderzoek “Geppetto” centraal. Dit onderzoek is aangevangen naar aanleiding van artikelen in landelijke kranten en, aanvankelijk, zestien aangiften van oplichting tegen verdachte en/of de eerder genoemde rechtspersonen. Kopers van miners zouden zijn opgelicht.

Door het bedrijf (‘bedrijf 1’) werden Bitcoinminers aangeboden. Deze miners konden worden aangekocht, waarbij aan de koper een koopovereenkomst werd toegestuurd waarin het serienummer van de aangeschafte miner stond vermeld. De koper zou volgens die koopovereenkomst te allen tijde eigenaar blijven van de miner. Daarnaast kon de koper een servicecontract voor de miner afsluiten bij het een ander bedrijf (‘bedrijf 2’). De aangeschafte miner zou vervolgens in een miningfarm worden geplaatst.

De opbrengst zou vervolgens per miner ongeveer 0,3 Bitcoin tot 0,4 Bitcoin per maand bedragen. De Bitcoinkoers heeft op zijn top in december 2017 een waarde van circa $ 20.000,– per Bitcoin behaald. Dit brengt met zich dat het rendement van een computer bijna $ 6.000,– per maand zou zijn geweest. Uit de aangiften volgt dat er geen of te lage rendementsuitkeringen zijn gedaan.

Uiteindelijk is er niets meer aan de eigenaren van de miners uitgekeerd. De FIOD heeft geconcludeerd dat er nooit een miningfarm met miners heeft bestaan. Voor zover er ‘rendementsuitkeringen’ zijn gedaan, zouden deze gefinancierd zijn uit de betalingen voor de aankoop van miners door latere klanten. Daarnaast heeft verdachte zich volgens het Openbaar Ministerie schuldig gemaakt aan gewoontewitwassen.

De rechtbank overweegt dat de verdachte voornamelijk zelf, namens de betrokken rechtspersonen, een voorstelling van zaken heeft gegeven die niet in overeenstemming was met de werkelijkheid. Die rooskleurige voorstelling van zaken heeft een niet te ontkennen aantrekkingskracht gehad op aangevers. Zij zijn, op basis van die voorstelling, bewogen om in zee te gaan met [bedrijf 1] en [bedrijf 2] en dachten eigen miners te hebben aangeschaft met het geld dat zij hadden overgemaakt.

De verdachte hield – onder andere – klanten voor dat hij miners op voorraad had, maar dit was bij zijn eerste klant al niet het geval. Er kwamen daarna nog veel meer klanten die miners bestelden, maar het antwoord op de vraag hoe verdachte de vraag aan miners dan wilde gaan opvangen luidde bij de FIOD: ‘daar was eigenlijk geen plan voor’. Hoewel verdachte aan personen vertelde dat er een miningfarm was, was dit geenszins het geval. De rechtbank stelt op basis op basis van uitgebreide overwegingen dat de verdachte mondeling en schriftelijk bedrieglijke mededelingen heeft gedaan over het investeren in miners, de hoeveelheid miners die op voorraad waren, de opbrengsten van het minen, de dienstverleningskosten, het bestaan van een miningfarm die om verzekeringstechnische redenen geheim moest blijven en het beheer van de miners door specialisten. Ook stelt de rechtbank vast dat aan meerdere personen betalingen zijn gedaan onder vermelding van ‘rendement’, terwijl het in werkelijkheid niet om rendementen ging die afkomstig waren uit het minen van Bitcoins maar om opbrengsten uit de latere inleg door participanten die geloofden dat zij miners hadden gekocht die hen op een later moment ook rendement zouden opleveren.

De rechtbank stelt vast dat de verdachte feitelijk leiding heeft gegeven aan de door [bedrijf 1] en [bedrijf 2] gepleegde oplichting. Omdat enkel verdachte de feitelijke beschikkingsmacht had over de door deze bedrijven ontvangen geldbedragen, is de rechtbank van oordeel dat verdachte in de periode van 12 januari 2017 tot en met 21 november 2018 in Nederland een geldbedrag van in totaal € 2.533.231,68 heeft verworven en voorhanden heeft gehad, terwijl dit onmiddellijk uit enig eigen misdrijf afkomstig was. Het geldbedrag betreft immers de totale opbrengst van de onder feit 1 bewezen verklaarde ponzifraude. Omdat de rechtbank niet ten aanzien van het gehele geldbedrag kan vaststellen dat sprake is geweest van verhullingshandelingen, acht de rechtbank ten aanzien van het totaalgeldbedrag van € 2.533.231,68 in ieder geval eenvoudig witwassen zoals bedoeld in artikel 420bis.1 Sr wettig en overtuigend bewezen.

De rechtbank overweegt dat ‘hoewel van een investeerder in miners de hoogst mogelijke voorzichtigheid mag worden verlangd en mag worden verwacht dat deze weet dat het investeren in miners risico’s met zich brengt’, de verdachte enkel en alleen uit eigen financieel gewin op een gewiekste en bedrieglijke wijze grof misbruik gemaakt van het vertrouwen dat het publiek heeft in het maatschappelijk en economisch verkeer. Naast de gevangenisstraf van 40 maanden moet de man ook een schadevergoeding betalen van in totaal bijna 2 miljoen euro.

Witwassen van bitcoins en Monero ter waarde van 12 miljoen euro

Op 23 maart 2023 heeft de rechtbank Rotterdam een verdachte veroordeeld voor het medeplegen van gewoontewitwassen van een geldbedrag van 354.000 euro en een zeer grote hoeveelheid cryptomunten, ter waarde van in totaal – op enig moment – € 12.000.000 euro (ECLI:NL:RBROT:2023:2839). De uitspraak is met name interessant vanwege de manier waarop de verdachte wordt gedwongen zijn bitcoins en monero’s op te geven. Ook is het één van de weinige (gepubliceerde) vonnissen, waarbij witwassen met Monero wordt bewezen.

Voor beoordeling van het delict witwassen in de zin van artikel 420bis en 420ter Sr past de rechtbank de zogenoemde 6-stappen toets toe en overweegt als volgt.

Stap 1: Geen direct bewijs voor een gronddelict:

Met de officier van justitie en de verdediging is de rechtbank van oordeel dat er geen bewijs is voor een concreet gronddelict dat de bron vormt voor de in de tenlastelegging opgenomen vermogensbestanddelen.

Stap 2: Vermoeden van witwassen:

In het dossier bevinden zich FIU-meldingen over ongebruikelijke transacties in de vorm van girale overboekingen van in totaal € 170.000,- met onbekende bron, een TCI-melding dat de verdachte in de cocaïnehandel zit en zorg draagt voor de logistieke ondersteuning en een ‘klikbrief’ aan de FIOD. Deze brief bevatte een anonieme tip dat de verdachte zwart contant geld heeft dat hij omzet in bitcoins. Verder bevat het dossier informatie uit de systemen van de Belastingdienst waarin staat dat de verdachte in box 3 een vermogen aan cryptomunten heeft opgegeven van € 290.000,- in 2017 en € 6.620.000,- in 2018. Zijn bruto looninkomsten bedroegen volgens de aangifte over de jaren 2016 tot en met 2018 respectievelijk: € 62.862, € 55.067,- en € 27.522,-. Bij de verdachte is een bedrag van ruim € 80.000 aan contanten gevonden. Op de zeven bankrekeningen op naam van de verdachte komt ruim € 800.000 afkomstig van crypto transacties binnen, terwijl dit op de twee zakelijke rekeningen ruim € 45.000 euro is.

De rechtbank is van oordeel dat de grote vermogenstoename niet in relatie staat tot loon- of andere bekende inkomsten en dat hiermee sprake is van een onverklaarbaar vermogen en dat dit een vermoeden van witwassen rechtvaardigt. Dit wordt versterkt door het aangetroffen contante geld en het feit dat op de privé rekeningen van de verdachte veel meer geld van cryptotransacties binnenkwam dan op zijn zakelijke rekeningen. Het omwisselen naar contant geld / omwisselen van cryptogeld kan gezien worden als het doorbreken van de papertrail. Vanwege de anonimiteit van de houder van cryptogeld is de herkomst van het geld niet te traceren. In het onderzoek is gezien dat de verdachte gebruik maakt van een grote variëteit aan wallet-software, cryptovaluta exchanges en hardware wallets wat ook weer leidt tot het doorbreken van de papertrail.

Gelet hierop mag van de verdachte worden verlangd dat hij een concrete, min of meer verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft voor de herkomst van het vermogen en de bezittingen die op de tenlastelegging zijn opgenomen.

Stappen 3, 4 en 5: De verklaring van de verdachte en het onderzoek daarnaar:

De hiervoor genoemde looninkomsten zoals bij de Belastingdienst door de verdachte aangegeven over 2016 tot en met 2018 (en ook 2019 en 2020) zijn niet daadwerkelijk uit een dienstverband bij [bedrijf01] B.V. verkregen. De verdachte heeft hierover verklaard dat hij samen met de medeverdachte [medeverdachte01] een schijnconstructie van een fictief dienstverband heeft opgezet teneinde een hypotheek verstrekt te krijgen voor de aanschaf van een woning. Aan de verdachte werd per bank een fictief loon betaald, dat hij eerder contant aan de medeverdachte had (doen) afge(ge)ven. De verdachte heeft verklaard dat hij zelf contant geld bracht of liet brengen aan [medeverdachte01] en dat (ook) dit geld afkomstig was uit de verkoop van PGP-telefoons.

De verklaring van de verdachte dat zijn vermogen deels afkomstig is van de opbrengsten van de legale handel in PGP-telefoons en deels uit vermogen dat hij heeft vergaard door de handel in cryptomunten en de sterk toegenomen waarde daarvan, is niet op voorhand hoogst onwaarschijnlijk en licht dat nader toe.

De verdachte betwist verder dat 295 bitcoins die zichtbaar zijn in een Ledger Live wallet database die is aangetroffen op de Macbook die in beslag is genomen in de door de verdachte gehuurde woning in Spanje, van hem zijn. Hij stelt anderen op 12 december 2017 geholpen te hebben deze bitcoins via de Macbook over te maken naar een persoonlijke hardware wallet en dat de bitcoins zo in de database zijn gekomen. Deze verklaring valt niet te rijmen met de bevindingen ten aanzien van deze bitcoins. Daaruit blijkt dat de bitcoins op 12 december 2017 in de aangetroffen accounts worden gestort en er voor 13 maart 2018 geen uitgaande transacties plaatsvinden. Op 3 november 2020, de dag van de doorzoeking, bedroeg het saldo 127 bitcoins. Uit een analyse van de bitcoin transacties die vooraf zijn gegaan aan de transacties op 12 december 2017 blijkt dat een deel van de bitcoins afkomstig is van zogenaamde Darkmarkets en via adressen die aan verdachte te linken zijn uiteindelijk op 12 december 2017 in de Ledger wallet komen. Ook ten aanzien van deze bitcoins heeft verdachte geen legale bron aannemelijk gemaakt.

Stap 6: Conclusie:

De resultaten van het door het OM verrichte nadere onderzoek zijn van dien aard dat mede op basis daarvan geen andere conclusie mogelijk is dan dat de ten laste gelegde voorwerpen onmiddellijk of middellijk uit enig misdrijf afkomstig zijn.

Straf

De verdachte wordt veroordeeld tot een gevangenisstraf van 40 maanden en gaat over tot verbeurdverklaring van diverse cryptomunten ter waarde van 750.000 euro. Met betrekking tot de vordering van de officier van justitie voor de uitlevering en verbeurdverklaring van de bitcoins en monero’s overweegt de rechtbank het volgende.

Tijdens de doorzoeking in de woning van verdachte in Spanje op 3 november 2020 is een zwarte laptop (Macbook) in beslag genomen. Deze laptop werd door de verdachte gebruikt en behoort hem toe. Op de deze laptop werd een Ledger Live wallet/database aangetroffen met ingaande en uitgaande transacties. Op 12 december 2017 werden 295 bitcoins op de wallet ontvangen. Het saldo van de wallet bedroeg 127 bitcoins op 3 november 2020, de dag van de doorzoeking. Deze 127 bitcoins zijn via meerdere transacties overgemaakt in de periode van 1 februari 2021 tot en met 3 juli 2021.

Op de laptop was ook een recovery code aanwezig van een zogeheten ‘Monero Freewallet’. Op 15 januari 2021 was een positief saldo op de wallet aanwezig was van totaal 546 monero met een waarde van ongeveer $90.000,-. De verdachte kon op de dag van de doorzoeking over deze cryptocurrency beschikken zodat deze hem in strafrechtelijke zin toebehoren. Deze 127 bitcoins en 546 monero zullen worden verbeurd verklaard, nu ook dit voorwerpen zijn waarmee het strafbare feit onder 1 is begaan.

De verdachte wordt de keuze gelaten om het OM binnen 2 weken na het onherroepelijk worden van dit vonnis de volledige beschikkingsmacht over de bitcoins en monero te verschaffen, dan wel binnen 2 weken na het onherroepelijk worden van dit vonnis de geschatte waarde te betalen. De rechtbank stelt de waarde van de 127 bitcoins en 546 monero vast tegen de koerswaarde daarvan op de datum van de uitspraak, subsidiair te vervangen door 12 maanden vervangende hechtenis bij niet voldoen hieraan.

Cybercrime jurisprudentieoverzicht maart 2023

jjoerlemans Een reactie plaatsen

Bewijsoverweging na inzet van de hackbevoegdheid

Op 22 februari 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:1960) gewezen in een drugshandelzaak. Het verweer over de hackbevoegdheid en de wijze waarop bewijs wordt verzameld n.a.v. de SkyECC operatie zijn hierbij met name relevant.

De verdediging stelt – naar mijn weten voor de eerste keer in strafzaken – het gebruik van de onderzoeksresultaten van een hack voor het bewijs ter discussie. De raadsman heeft betoogd dat het bewijs dat is verkregen door middel van de hackbevoegdheid in artikel 126nba Sv niet mag worden gebruikt voor het bewijs. De raadsman heeft daartoe aangevoerd dat uit het dossier niet blijkt dat bij het Openbaar Ministerie de juiste procedure is doorlopen en dat toestemming is verzocht aan het College van procureurs-generaal voordat de machtiging is gevorderd bij de rechter-commissaris.

De rechtbank overweegt dat ‘de te volgen procedure voorafgaand aan de in de wet geregelde vordering tot een machtiging ex artikel 126nba Sv is niet aan rechterlijke toetsing onderworpen. Het gaat om een interne werkafspraak en een interne belangenafweging bij het Openbaar Ministerie. De regels die het Openbaar Ministerie daarbij volgt, zijn geen recht in de zin van de wet op de rechterlijke organisatie, en de daarop betrekking hebbende stukken maken overigens ook geen onderdeel uit van het strafdossier. De verdachte kan aan die stukken ook geen rechten ontlenen. Niet is gebleken dat sprake is van enig vormverzuim in het voorbereidend onderzoek als bedoeld in artikel 359a Sv’. De rechtbank verwerpt om bovenstaande reden het verweer.

Daarnaast is in de uitspraak te lezen hoe bewijs uit de SkyECC-operatie wordt gebruikt In een strafrechtelijk onderzoek. In een onderzoek dat zich richt de criminele samenwerkingsverbanden van de anonieme gebruikers van SkyECC-telefoons is door de door de rechter-commissaris op 15 december 2020 bepaald dat de in dat onderzoek beschikbare ontsleutelde informatie slechts mag worden gebruikt ter opsporing indien daartoe een aanvullende toestemming is verleend. Op voorhand is door de rechter-commissaris toestemming verleend om voor een gelimiteerd aantal categorieën misdrijven en met gebruik van een lijst met zoekwoorden onderzoek te doen aan de binnen het onderzoek beschikbare ontsleutelde informatie. De chatgesprekken die naar aanleiding van deze zoekslag uit de ontsleutelde informatie naar voren komen mochten, na voornoemde aanvullende toestemming van de rechter-commissaris, ter opsporing nader worden onderzocht.

De chats tussen de gebruikers van cryptocommunicatie-aanbieder zijn geautomatiseerd geanalyseerd en geclassificeerd. Die analyse heeft in de categorie “cocaïne” hits opgeleverd op onder de woorden: ‘cocaïne’, ‘haven’, een plaatsnaam, ‘airco’, een locatie, ‘uithaal’, en ‘oog’. Op basis van deze hits zijn berichten naar voren gekomen van enkele gebruikers van SkyECC-telefoons. Na goedkeuring van de officieren van justitie van het onderzoek naar de criminele samenwerkingsverbanden van de anonieme gebruikers van SkyECC-telefoon is de bovenstaande informatie op 20 juli 2022 ter beschikking gesteld aan het onderzoek naar de verdachte in het onderhavige onderzoek. In het dossier bevindt zich daarnaast ook een toestemmingsbrief van de officier van justitie waaruit blijkt dat op 5 augustus 2022 toestemming is verleend de gegevens te gebruiken in het strafrechtelijk onderzoek naar de verdachte.

Uit de inhoud van de chatberichten komen gegevens naar voren die herleidbaar zijn tot de verdachte. In de uitspraak is ook te lezen hoe uit de ‘historische verkeersgegevens’ het adres van de moeder van de verdachte 26x keer voorkwam. De rechtbank overweegt het bewijs wordt gevormd door vele chatberichten, die op verschillende data en tijden door de verdachte zijn verstuurd en waaraan betekenis toekomt als ze met elkaar in verband worden gebracht. Daarnaast omvat het bewijs processen-verbaal met bevindingen over de (familie van) de verdachte, op basis waarvan de verdachte geïdentificeerd kon worden als de gebruiker van een SkyECC-telefoon. De door de verdediging aangevoerde stelling dat het bewijsminimum niet wordt gehaald, gaat volgens de rechtbank dus niet op.

De verdachte heeft zich, al dan niet in vereniging, schuldig gemaakt aan een woninginbraak, fraude met coronavaccinatiebewijzen, wapenbezit en voorbereidingshandelingen voor de handel, invoer, uitvoer en bereiding van harddrugs. Uit het onderzoek van de politie is gebleken dat de verdachte zich onder meer heeft bezig gehouden met het opzetten van een drugslijn tussen Colombia en Nederland. De QR fraude is voor de verdachte een zeer lucratief feit geweest, waaraan blijkens de WhatsApp-gesprekken slechts een einde lijkt te zijn gekomen doordat zijn – overigens in dit onderzoek onbekend gebleven – compagnon tegen de lamp is gelopen. De rechtbank legt de verdacht een onvoorwaardelijke gevangenisstraf van vijf jaar op.

‘Zeer ingrijpende inbreuk’ bij onderzoek aan smartphone

Op 18 november 2022 heeft de rechtbank Rotterdam een interessante uitspraak (ECLI:NL:RBROT:2022:10279) gedaan met betrekking tot onderzoek op een smartphone. In deze zaak over roekeloos rijden en rijden onder invloed waarbij een andere bestuurder zwaar lichamelijk letsel heeft opgelopen, had de officier van justitie toestemming gegeven om een beperkt onderzoek te verrichten aan de smartphone van de verdachte en de opdracht ook duidelijk gespecificeerd.

Gelet op de toelichting van de verdediging op zitting is echter om onduidelijke redenen door de politie van de opdracht van de officier van justitie afgeweken. Dit alles heeft er in geresulteerd dat door het volledig kopiëren van de telefoon en die bestanden vast te leggen op een tweetal gegevensdragers een min of meer compleet beeld kan zijn verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte. Hierbij is ook tenminste een aantal berichten van de verdachte aan of van een advocaat toegankelijk geworden voor derden. De rechtbank acht dit een onjuiste en zeer ongewenste gang van zaken.

Gelet op de grote ernst van het verzuim en het nadeel voor het privéleven van de verdachte dat door het verzuim is veroorzaakt, kan het echter niet bij een enkele constatering blijven. Gelet op de aard en inhoud van het eerder in dit vonnis vastgestelde vormverzuim in de zin van artikel 359a van het Wetboek van Strafvordering zal de straf worden verminderd met drie maanden gevangenisstraf. Aan de verdachte zal een gevangenisstraf worden opgelegd van 15 maanden, waarvan 5 maanden voorwaardelijk.

Rol voor digitaal bewijs bij aanslagen op Poolse supermarkten

In een zaak (ECLI:NL:RBNHO:2023:1518) van de rechtbank Noord-Holland op 24 februari 2023 speelde digitaal bewijs een bijzondere rol. Het ging in deze zaak om aanslagen op Poolse supermarkten. Uit de aangehaalde processtukken blijkt dat er contact was tussen de verdachte en een persoon bekend met het initiaal “W.” kort voor, rondom en kort na de aanslagen. Het bleek namelijk dat de telefoon van W. via het IP-adres van de woning van de verdachte op drie tijdstippen contact maakte, te weten op 8 december 2020 om 00:53, uur en op 9 december 2020 om 01:07 en 02:47 uur.

De explosie in Heeswijk-Dinther vond rond 04:05 uur plaats. Enkele minuten daarna wisselen de verdachte en medeverdachte N. enkele chatberichten uit, waarna de verdachte hem om 04:14 uur belt. Uit de chats die voor het bewijs worden gebruikt blijkt onder meer dat zij afspreken dat medeverdachte N. naar de verdachte komt. De rechtbank concludeert dat ‘uitgesloten dient te worden geacht, mede gezien het tijdstip, dat dit contact geen direct verband houdt met de ontploffing’. Van belang is ook dat in de communicatie tussen de verdachte en medeverdachte N.  op 8 december 2020 overdag gesproken wordt over de “big boss” in relatie tot de klus die medeverdachte N] voor de verdachte heeft gedaan.

Kortom, opgevraagde verkeersgegevens van de telefoon van de verdachte, onderzoek aan de telefoons van de verdachte en gegevens over de auto van de verdachte (mogelijk ANPR-gegevens?) spelen in samenspel een belangrijke bewijsrol in de zaak. De rechtbank overweegt dat, uitgaand van het patroon dat daarbij naar boven komt, dat de verdachte telkens in meer of mindere mate, sturende informatie heeft gegeven, bij zijn woning de uitvoerders heeft laten instappen, materialen heeft doen inladen of heeft ingeladen en zich met betalingen bezighield.

De verdachte wordt daarop veroordeeld voor acht jaar gevangenisstraf, onder andere vanwege het ‘medeplegen van opzettelijk een ontploffing teweegbrengen, terwijl daarvan gemeen gevaar voor goederen en levensgevaar voor een ander te duchten is’.

Veroordeling voor witwassen en computervredebreuk

Op 24 februari 2023 veroordeelde de rechtbank Amsterdam een verdachte voor witwassen en computervredebreuk (ECLI:NL:RBAMS:2023:989). De bewijsoverwegingen zijn in deze zaak interessant.

De rechtbank vindt bewezen dat de verdachte opzettelijk wederrechtelijk de servers van ABN AMRO, Volksbank, ING en Rabobank is binnengedrongen. De rechtbank stelt op grond van de bewijsmiddelen het volgende vast. De banken hebben aangifte gedaan, omdat meerdere van hun klanten zeggen het slachtoffer te zijn geworden van fraude. Daarbij zouden de fraudeurs hun inloggegevens hebben bemachtigd en daadwerkelijk hebben ingelogd op de bankomgevingen van de klanten. Uit onderzoek van de banken blijkt dat de bankomgevingen van de klanten zonder toestemming benaderd zijn vanaf een specifiek IP-adres. De verdachte heeft 314 keer op zijn eigen bankomgeving bij ABN AMRO ingelogd vanaf dit IP-adres. Verdachte woonde bij zijn moeder en zij maakte voor haar eigen ING-bankrekening ook veelvuldig gebruik van dit IP-adres. De rechtbank leidt daaruit af dat in de bewezenverklaarde periode de internetaansluiting in de woning van verdachte aan dit IP-adres kan worden gekoppeld. Dat vanaf dit IP-adres waarvan verdachte vanuit zijn woning vaak gebruik maakte, is ingelogd op de bankomgevingen van slachtoffers, schreeuwt om een verklaring van verdachte, die hij niet heeft gegeven. Op basis van deze omstandigheden stelt de rechtbank vast dat het verdachte is geweest die vanaf genoemd IP-adres heeft ingelogd op de bankomgevingen van de klanten.

De rechtbank overweegt dat het bij witwassen gaat om uit misdrijf verkregen geld of spullen. De rechtbank kan op basis van het dossier geen concreet misdrijf vaststellen waarmee verdachte het geld heeft verdiend of waardoor hij de spullen heeft verkregen. Ook als een concreet misdrijf niet kan worden vastgesteld kan witwassen onder omstandigheden worden bewezen. Er moet dan op basis van de feiten en omstandigheden sprake zijn van een ernstig vermoeden dat het geld en de spullen van misdrijf afkomstig zijn. Als dat vermoeden er is, dan mag van verdachte worden verwacht dat hij een verklaring geeft over de herkomst ervan. De verdachte heeft geen verklaring willen afleggen over het geld. Op de zitting heeft hij verklaard dat hij de luxe kleding en tassen van vrienden had geleend. Die verklaring vindt de rechtbank onvoldoende concreet en verifieerbaar. De rechtbank komt dus tot de conclusie dat het niet anders kan zijn dan dat het geld en de luxe goederen van misdrijf afkomstig zijn en dat verdachte dit ook wist. Omdat het om veel transacties gaat gedurende anderhalf jaar vindt de rechtbank dat verdachte hiervan een gewoonte heeft gemaakt. De rechtbank vindt niet bewezen dat de verdachte dit samen met een ander of anderen heeft gedaan. De rechtbank spreekt verdachte daarom vrij van medeplegen.

De rechtbank kan op basis van het dossier bovendien niet vaststellen dat de verdachte de slachtoffers op de tenlastelegging heeft opgelicht of dat hij phishingpanels voorhanden heeft gehad. Weliswaar heeft hij van een slachtoffer geld op zijn rekening ontvangen, maar niet duidelijk wordt wie de oplichtingshandelingen heeft verricht. Ook van de andere slachtoffers ontbreekt bewijs om verdachte als (een van) de oplichter(s) aan te merken. Dat het IP-adres van verdachte betrokken is geweest bij het inloggen op de bankrekeningen is onvoldoende om te kunnen bewijzen dat verdachte bij de oplichtingen zelf betrokken is geweest. Hetzelfde geldt voor het voorhanden hebben van de phishingpanels, een van de oplichtingsmiddelen waar aangevers melding van maken. Anders dan de officier van justitie vindt de rechtbank dat uit het dossier onvoldoende blijkt dat de frauduleuze betaallinks vanaf het IP-adres van verdachte zijn verzonden. Ook uit zijn telefoon blijkt niet dat hij phishingpanels voorhanden heeft gehad.

Ten slotte is nog opvallend dat de reclassering adviseert dat de verdachte meewerkt aan gedragsinterventie Hack_Right, maar de officier van justitie en de rechtbank deze interventie niet geschikt vinden. De rechtbank overweegt dat de verdachte onvoldoende intrinsiek gemotiveerd lijkt om hieraan mee te werken. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op en een taakstraf op van 120 uur. Ook moet de verdachte een schadevergoeding betalen aan de betrokken banken.

Veroordeling voor opruiing tot een terroristisch misdrijf en bedreiging van de minister-president

Op 30 december 2022 veroordeelt (ECLI:NL:RBDHA:2022:14261) de rechtbank Den Haag een verdachte voor opruiing tot een terroristisch misdrijf en bedreiging van de minister-president door middel van het plaatsen van berichten op een openbaar Telegram-kanaal.

De raadsman heeft ter zitting bepleit dat de benadering van de verdachte door de undercoveragenten zonder wettelijke basis is geschied, nu artikel 3 van de Politiewet hiertoe niet toereikend was omdat de politie zijn cliënt reeds als verdachte had aangemerkt. Daarnaast stelt de raadsman dat de complete telefoon van de verdachte niet had mogen worden uitgelezen zonder een daartoe strekkende machtiging van de rechter-commissaris. De raadsman stelt dat in beide gevallen sprake is van een onherstelbaar vormverzuim dat tot bewijsuitsluiting dient te leiden.

De rechtbank verwerpt dit het verweer. Uit het dossier blijkt dat de verdachte pas na de tweede ontmoeting met de agenten, op 12 juli 2021, als verdachte is aangemerkt. Voor deze datum waren alleen de twee IP-adressen waaronder de berichten op Telegram waren geplaatst, bekend. Deze IP-adressen waren nog niet aan de verdachte gekoppeld. Om te achterhalen wie achter deze IP-adressen zat en om een inschatting te kunnen maken over de ernst van de uitlatingen, heeft de politie op grond van artikel 3 van de Politiewet nader onderzoek gedaan. De rechtbank is van oordeel dat dit artikel in de gegeven omstandigheden voldoende grondslag biedt voor dit onderzoek. Er is daarom geen sprake van een vormverzuim volgens de rechtbank.

Daarnaast zijn zijn de overwegingen van de rechtbank of in dit geval sprake is van opruiing zijn helder en interessant om te lezen. Het ging in deze zaak om berichten zoals: “Regel eerst strijders. En niet zomaar strijders, serieuze mensen die wat willen doen. Die het zat zijn, en schijt hebben. En hun vrijheid eisen. Ik zoek geen demonstranten. Ik zoek revolutionairen. Shooters/hitters/gewapend/geweld. Alles toegestaan.” En: “Zou je het in je hebben om ze allemaal te shooten? Gwn vanuit een auto. Raam open. Gun naar buiten. En knallen maar.”  

In artikel 131 van het Wetboek van Strafrecht (Sr) is opruiing strafbaar gesteld. Allereerst is vereist dat de uitlating in het openbaar is gedaan. Dat wil zeggen dat het uiten van opruiende woorden onder zodanige omstandigheden en op zodanige wijze moet plaatsvinden dat deze door het publiek gehoord, gelezen, of gezien konden worden. Door het plaatsen van zijn uitlatingen in de Telegram-groepen worden deze in de openbaarheid gebracht. De groepen waren immers openbaar en voor een ieder toegankelijk. Uit het dossier blijkt ook dat de verdachte op zoek was naar mensen om de groep uit te breiden. Het verweer van de raadsman dat de verdachte ervan uitging dat zijn uitlatingen slechts door een beperkt aantal gelijkgestemden zou worden gelezen, snijdt dan ook geen hout. De uitlating moet daarnaast mondeling of bij geschrift of afbeelding zijn gedaan. Daaronder zijn inbegrepen tekstberichten op internet en social media. Ook aan dit vereiste is voldaan. Daarnaast moet met de uitlatingen zijn aangezet tot iets ongeoorloofds. Dit ongeoorloofde moet een naar Nederlands recht strafbaar feit zijn. Uit feiten en omstandigheden moet kunnen worden afgeleid dat voldoende duidelijk is dat indien datgene waartoe wordt opgeroepen daadwerkelijk wordt uitgevoerd, dit een strafbaar feit zou opleveren.

De rechtbank stelt voorop dat uitlatingen die worden geplaatst in een openbare groep op Telegram, in principe door iedereen kunnen worden gelezen. Hoe groter het bereik van een uitlating, hoe groter de kans dat iemand door het lezen ervan daadwerkelijk overgaat tot het handelen waartoe wordt opgeroepen. De raadsman heeft bepleit dat het nooit de bedoeling van de verdachte is geweest om met zijn uitpersonen op te ruien. Hij wilde voornamelijk aandacht. De door de verdachte gebruikte woorden in de berichten en de context waarin deze uitlatingen zijn gedaan, kunnen echter zonder meer worden opgevat als een aanmoediging om een misdrijf te plegen. Het gaat om uitlatingen als ‘de oude wereld vernietigen’, ‘shooten’, ‘het parlement bestormen en met dodelijk geweld die zooi opruimen’ en ‘shooters/hitters/gewapend/geweld. Alles toegestaan’. Deze termen zijn naar het oordeel van de rechtbank voldoende feitelijk voor wat betreft het aanzetten tot strafbare feiten. Op grond van het voorgaande concludeert de rechtbank dat de berichten opruiend zijn.

Overigens komt het Hof Arnhem-Leeuwarden in een ander arrest (ECLI:NL:GHARL:2023:528) van 20 januari 2023 over opruiing in een Whatsapp-groep tot een andere conclusie, omdat niet was voldaan aan het bovengenoemde openbaarheidsvereiste. In deze zaak werd in een Whatsapp-groep met 14 actieve gebruikers berichten verzonden waarin werd aangespoord om te gaan rellen en het gebruik van geweld daarbij niet te schuwen. Het hof stelt voorop dat berichten en gesprekken in Whatsapp end-to-end versleuteld zijn. Zonder toevoeging van telefoonnummers door de beheerder(s) van de groep kan niemand buiten een groep de berichten lezen of beluisteren. Het hof overweegt daarbij ook dat eerder verzonden berichten niet te lezen zijn voor personen die later aan de Whatsapp-groep zijn toegevoegd. Uit het dossier blijkt dat er op enig moment veertien actieve deelnemers aanwezig waren in de Whatsapp-groep. Naar het oordeel van het hof is dit enkele feit onvoldoende om te kunnen spreken van openbaarheid, waarmee niet is voldaan aan de delictsomschrijving van art. 131 Sr. In deze zaak verklaart het Hof niet bewezen dat de verdachte het tenlastegelegde heeft begaan en spreekt de verdachte daarvan vrij.

Terug naar de onderhavige uitspraak van de rechtbank Den Haag overweegt de rechtbank dat als laatste de vraag moet worden beantwoord of sprake is van opzet. Opzet ligt besloten in de delicthandeling ‘opruiing’. Ook degene die met zijn uitlating willens en wetens de aanmerkelijke kans heeft aanvaard dat zijn uitlating derden zou kunnen bewegen tot het plegen van een strafbaar feit, handelt opzettelijk (in de vorm van voorwaardelijk opzet). Van belang is ook of degene die de uitlatingen doet, de bedoeling heeft om ze ‘in het openbaar’ te brengen.

De rechtbank is van oordeel dat het opzet van de verdachte voldoende blijkt uit de uitlatingen en de context waarin hij deze heeft gedaan. De door de verdachte gebruikte termen laten weinig aan de verbeelding over. Dat verdachte zwakbegaafd en gemakkelijk beïnvloedbaar is, doet aan het opzet niet af. Door de uitlatingen in een openbare groep op Telegram te plaatsen, heeft de verdachte de kans dat iemand zijn uitlatingen zou opvatten als een aanmoediging tot het plegen van een strafbaar feit bewust aanvaard. Ook verdachte zelf kan zich voorstellen – zoals hij ter terechtzitting heeft verklaard – dat mensen misschien dachten dat hij serieus was. Tot slot overweegt de rechtbank dat het niet ging om één op zichzelf staande uitspraak, maar meerdere uitlatingen van verdachte gedurende een langere periode waarin hij in zijn uitlatingen en plannen steeds serieuzer werd.

Tot slot is de rechtbank van oordeel dat ook het terroristisch oogmerk bij de opruiing door de verdachte kan worden bewezen. Dit blijkt simpelweg uit de termen die de verdachte heeft gebruikt. Met oproepen tot het vernietigen van de oude wereld, een revolutie en het bestormen van het parlement, riep de verdachte op tot geweld tegen dan wel ontwrichting van de fundamentele politieke structuren van Nederland.

De verdachte wordt veroordeeld tot een gevangenisstraf van 21 maanden, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar.

Cybercrime jurisprudentieoverzicht oktober 2022

jjoerlemans Een reactie plaatsen

Vorderingen gemeente Bodegraven tegen Twitter afgewezen

Op 4 oktober 2022 heeft de voorzieningsrechter van de rechtbank Den Haag vorderingen van de gemeente Bodegraven tegen Twitter afgewezen (ECLI:NL:RBDHA:2022:10082) over het verwijderen van onrechtmatige content over het ‘verhaal Bodegraven’. Volgens dat verhaal zou gedurende vele jaren in Bodegraven een pedo-satanisch netwerk hebben bestaan waar talloze jonge kinderen het slachtoffer van zijn geworden. In deze periode zijn (onder meer via Twitter) ernstige beschuldigingen geuit jegens bepaalde personen en oproepen gedaan om naar de begraafplaats van Bodegraven te komen voor het leggen van bloemen. Hierop heeft de Gemeente zich genoodzaakt gezien tijdelijk een noodverordening uit te vaardigen om de openbare orde te kunnen handhaven.

Bij vonnissen van 30 juni 2022 zijn twee verdachten al strafrechtelijk veroordeeld voor opruiing, bedreiging en smaad, onder meer in verband met het verspreiden van opruiende en bedreigende filmpjes op sociale media (zie ECLI:NL:RBDHA:2022:6263). In deze vonnissen is onder meer geoordeeld dat de rechtbank in het geheel niet heeft kunnen vaststellen dat sprake is geweest van een satanisch pedofielennetwerk. De discussie tussen de gemeente Bodegraven en Twitter spitst zich toe op de vraag of van Twitter nog meer mag worden verwacht dan zij al heeft gedaan. De Gemeente heeft betoogd dat Twitter verder verplicht is om – uit eigen beweging – uitlatingen soortgelijk aan de onrechtmatig bevonden uitlatingen van haar platform te verwijderen.

Het account van de verdacht werd door Twitter geschorst en de inhoud van de berichten zijn niet langer toegankelijk. Het maken van een filter en uit eigen beweging van andere tweets van anderen weigert Twitter met de argumentatie dat met de schorsing van het account voldaan is aan de vordering en de vordering voor het overige te algemeen is en strekt volgens Twitter tot oplegging van een op grond van artikel 15 lid 1 van de Richtlijn inzake elektronische handel ontoelaatbaar filterverbod. De rechtbank overweegt dat op grond van artikel 15 lid 1 van de Richtlijn inzake elektronische handel de lidstaten de dienstverleners geen algemene verplichting mogen opleggen om toe te zien op de informatie die zij doorgeven of opslaan, noch om actief te zoeken naar feiten of omstandigheden die duiden op onwettige activiteiten. Dit (algemene) filterverbod doet niet af aan de hiervoor vermelde mogelijkheid om in speciale gevallen een rechterlijk verbod te verkrijgen op grond waarvan bepaalde informatie moet worden verwijderd of ontoegankelijk moet worden gemaakt. Zo’n speciaal geval kan zijn bepaalde informatie die door de betrokken hostingprovider op verzoek van een bepaalde gebruiker van zijn netwerk is opgeslagen en die in een rechterlijk oordeel onrechtmatig is bevonden.

De vordering van de gemeente Bodegraven is niet toewijsbaar. Anders dan de Gemeente heeft betoogd kan dus niet van Twitter worden gevergd na een zoekslag op basis van een filter nog een autonome beoordeling van het zoekresultaat te verrichten. Er moet immers sprake zijn van een geautomatiseerde selectietechniek. Tijdens de mondelinge behandeling heeft Twitter verklaard dat het voor haar feitelijk onmogelijk is een algoritme te maken dat onrechtmatige uitlatingen die vergelijkbaar zijn met de onrechtmatige uitingen eruit filtert, zonder daarmee ook vele rechtmatige berichten te raken. Zo zouden bijvoorbeeld ook berichten waarin het bestaan van een satanisch pedofiel netwerk juist wordt ontkend, en/of beschrijvende, vragende, journalistieke en/of anderszins niet onrechtmatige berichten over aspecten van ‘het verhaal Bodegraven’ eruit worden gefilterd, terwijl die berichten niet onrechtmatig zijn. Dat is strijdig met de vrijheid van meningsuiting, aldus Twitter. Hiertegenover heeft de Gemeente voorshands onvoldoende aannemelijk gemaakt dat Twitter hier wel toe in staat is. De enkele stelling van de Gemeente dat Twitter goed is in het maken van algoritmes en genoeg geld en mankracht kan inzetten om een en ander voor elkaar te krijgen volstaat in dit kort geding niet. Daarbij weegt de voorzieningenrechter mee dat aan het spoedeisend belang naar voorlopig oordeel voldoende tegemoet kan worden gekomen door het notice-and-takedown systeem, zoals hierna zal worden besproken, te meer daar ook de (re)tweets de medeverdachte zijn verwijderd.

Het voorgaande betekent dat de Gemeente vooralsnog is aangewezen op de notice-and-takedown procedure om onrechtmatige content te doen verwijderen. Niet weersproken is dat de Gemeente op eenvoudige wijze kan aangeven welke tweets volgens haar onrechtmatig zijn en om verwijdering daarvan door Twitter kan verzoeken. Slechts indien Twitter vervolgens weigert een tweet met onrechtmatige inhoud te blokkeren, handelt zij jegens de Gemeente onrechtmatig. Die situatie doet zich hier echter vooralsnog niet voor.

Burgeropsporing bij vriend-in-nood fraude

De rechtbank Rotterdam heeft op 10 oktober 2022 een interessante uitspraak (ECLI:NL:RBROT:2022:8396) gedaan over burgeropsporing bij vriend-in-nood fraude. De feiten zijn als volgt. Op 25 augustus 2020 kreeg de politie een melding gekregen van een persoon die een televisieprogramma maakte over oplichters. In een hotel zou volgens de melder op dat moment vriend-in-nood fraude worden gepleegd, waarbij fraudeurs in de veronderstelling verkeerden dat zij een slachtoffer veel geld afhandig maakten. Volgens dit artikel in het AD gaat het blijkbaar over een programma van Kees van der Spek. Het Openbaar Ministerie zou volgens het artikel spreken over “belangrijke jurisprudentie”.

Het slachtoffer was door een onbekende benaderd die zich voordeed als haar kind en facturen had die dringend moest worden betaald. Zij had zelf geen kinderen en bood toen aan de melder aan dat zij de “oplichters” zou aanbieden om zelf het geld voor die facturen van haar bankrekening te halen. Zij zou dan een door de televisiemakers gemaakte namaak-bankapp met de inlogcodes aan de “oplichters” verstrekken. Deze applicatie creëerde een namaak-bankomgeving, waardoor het alleen leek of er geld werd overgemaakt. De app maakte ook video’s van drie seconden van degene die met de app (nep)geld overmaakte. Deze video’s, gegevens over de overboekingen en de GPS-locaties werden doorgestuurd naar een medewerker die de app had gemaakt. Zo kon men weten waar de oplichters waren en op welk moment zij (nep)geld overmaakten naar andere bankrekeningen en kon hij een foto van de “oplichters” laten zien.

De politieambtenaren zijn op 25 augustus 2020 om 18.10 uur samen met de melder het hotel binnengegaan. De baliemedewerker van het hotel heeft de verdachte en de medeverdachte herkend van een foto die de melder had verkregen via de bankapp. De baliemedewerker heeft het kamernummer gegeven. De politieambtenaren zijn daarop naar die hotelkamer gegaan. In die kamer werden omstreeks 18.29 uur vijf personen aangetroffen, de verdachten en nog drie anderen. Allen werden aangehouden. In de hotelkamer werden naast luxe kleding en schoenen ook zeven telefoons aangetroffen. Op alle telefoons zijn sporen van vriend-in-noodfraude aangetroffen.

Bij de aangifte werd tevens een kopie van het chatgesprek overgelegd dat de “oplichters” met het slachtoffer zouden hebben gevoerd. Ook is een transactieoverzicht met tijdstippen waarop de “oplichters” probeerden geld over te maken en videobestanden van de “oplichters” die de bankapp bedienden van diezelfde momenten. De tijdstippen van de fictieve transacties komen precies overeen met de tijdstippen waarop de videobeelden zijn gemaakt. De verbalisant heeft op die videobeelden steeds de verdachte en daarnaast in een aantal gevallen de verdachte en de medeverdachte herkend. Op de beelden die zijn gemaakt op de tijdstippen van de transacties zijn geen anderen te zien

Uit onderzoek naar de historische gegevens van de zeven telefoons is gebleken dat de telefoons van de verdachte en de medeverdachte en de telefoons op naam de verdachten meermalen rond dezelfde tijdstippen dezelfde masten aanstralen in Rotterdam aanstraalden. Uit de camerabeelden van het hotel is gebleken dat de verdachte en de medeverdachte om 13.38 uur het hotel binnenkomen. Zij worden op dat moment ook door de politieambtenaren op straat voor het hotel gezien, waar zij de melder als televisiepersoonlijkheid hebben herkend en selfies met hem hebben gemaakt. Op de camerabeelden van het hotel is te zien dat zij kort daarna het hotel zijn binnengegaan.

Onder omstandigheden dient bewijsmateriaal dat door burgers is verzameld van gebruik bij de bewijsbeslissing te worden uitgesloten. Dat is het geval als er sprake is van schending van algemene beginselen van een behoorlijke procesorde of veronachtzaming van de processuele rechten van de verdediging. Maar als uitgangspunt heeft te gelden dat bewijsmateriaal dat door burgers is verzameld bij de bewijsbeslissing mag worden gebruikt. Onrechtmatig of strafbaar handelen door die burgers bij het verzamelen van dat bewijsmaterieel doet daar in beginsel niet aan af. Dat laatste is anders als opsporingsambtenaren of ambtenaren van het Openbaar Ministerie enig invloed hebben gehad op de verkrijging van dat bewijsmateriaal (HR 14 januari 2003, ECLI:NL:HR:2003:AE9038). Gesteld noch gebleken is dat politie of Openbaar Ministerie enige invloed op de opsporing van de verdachte door de melder hebben gehad.

De verklaring van de melder is afgelegd ten overstaan van een opsporingsambtenaar. Het bewijsmiddel is het desbetreffende proces-verbaal. De rechtbank kan kennisnemen van dat bewijsmiddel en dit bij de bewijsbeslissing gebruiken. De waardering van de inhoud is aan de rechtbank voorbehouden.

De rechtbank overweegt dat er sprake is van computervredebreuk door het aannemen van een valse hoedanigheid en installeren van de namaakbank-app. Niet is gebleken dat de melder en zijn medewerkers verder zijn gegaan dan nodig om de bedriegers aan de kaak te stellen. Of daarmee de wederrechtelijkheid aan hun handelen ontbreekt, “kan in het midden blijven“, aldus de rechtbank. Het gaat erom dat aldus naar het oordeel van de rechtbank geen algemene beginselen van een behoorlijke rechtsorde zijn geschonden en geen processuele rechten van de verdediging zijn veronachtzaamd.

Wat betreft het door de verdediging aangevoerde onafhankelijke onderzoek begrijpt de rechtbank de verdediging zo, dat de burgeropsporing door een onafhankelijke opsporingsinstantie zou moeten worden gecontroleerd alvorens het bewijsmateriaal toelaatbaar is. Maar dit is een eis die het recht zo algemeen geformuleerd niet kent.

Gelet op de (relatief beperkte) overschrijding van de redelijke termijn, de eis van de officier van justitie, de jonge leeftijd van de verdachte en de al ingezette hulpverlening, legt de rechtbank in plaats van een onvoorwaardelijke gevangenisstraf een taakstraf en een voorwaardelijke gevangenisstraf met voorwaarden op.

Alleen maar bewijs uit Sky ECC-berichten is voor de rechtbank Breda niet genoeg

De rechtbank Zeeland-West-Brabant heeft op 13 september 2022 een opvallende uitspraak (ECLI:NL:RBZWB:2022:5151) gedaan over een zaak met uitsluitend bewijs uit de Sky ECC-operatie. De man werd verdacht van drugshandel in 40 kilo MDMA, 300.000 xtc-pillen en ruim twintig kilo ketamine.

De rechtbank overweegt dat er van wettig bewijs is sprake als er bewijsmiddelen zijn uit verschillende bronnen of als de bewijsmiddelen uit één bron worden ondersteund door andere feiten en omstandigheden. Uit die bewijsmiddelen moet de rechtbank vervolgens ook de overtuiging krijgen dat verdachte de tenlastegelegde feiten heeft gepleegd.

Evenals de verdediging beschikt de rechtbank niet over de dataset met alle Sky ECC-berichten van het account ‘546TCH’, zijnde het account dat aan verdachte wordt toegeschreven. Hierdoor kan zij de berichten in het procesdossier niet beoordelen in de context van andere berichten die door of aan het account zijn verstuurd. Het samenstellen van het procesdossier is een bevoegdheid van het Openbaar Ministerie. Het Openbaar Ministerie heeft er in deze zaak voor gekozen te volstaan met het toevoegen van specifieke delen van de dataset aan het procesdossier. De rechtbank kan hierdoor de verdenkingen tegen verdachte uitsluitend beoordelen aan de hand van deze selectie in het procesdossier.

De rechtbank stelt vast dat de verdenkingen tegen verdachte gebaseerd zijn op de in het procesdossier aanwezige Sky ECC-berichten. Deze berichten komen naar het oordeel van de rechtbank allemaal uit één bron, namelijk de gekraakte berichtendienst Sky ECC. Dat door het Openbaar Ministerie wordt verwezen naar meerdere chatsessies van het account met verschillende andere gebruikers van Sky ECC maakt dit niet anders. In het procesdossier zijn geen bewijsmiddelen opgenomen die de inhoud van de berichten ondersteunen. Hierdoor is de inhoud van de berichten niet te toetsen. De rechtbank is van oordeel dat hierdoor het wettige bewijs voor de tenlastegelegde feiten ontbreekt. Zij spreekt verdachte daarom vrij van alle tenlastegelegde feiten.

Brandbrief over het in beslag nemen, aftappen en hacken van versleutelde communicatiediensten

Overigens hebben meer dan 100 advocaten op 24 oktober 2022 een “brandbrief” geschreven over het in beslag nemen, aftappen en hacken van versleutelde communicatiediensten, zoals Ennetcom, PGPsafe, EncroChat en SkyECC. Volgens de advocaten is er onvoldoende transparantie over de inzet van nieuwe opsporingsmethoden in deze zaken, waardoor spanning ontstaat met het recht op een eerlijke proces en het recht op privacy. Ook maken zij zich zorgen over het risico van de glijdende schaal. Volgens hen worden ook andere (versleutelde) communicatiediensten, zoals Signal en Whatsapp, al ‘in verdachte hoek geplaatst of dreigen daar te komen, terwijl die verdachtmaking enkel is gebaseerd op het gebruik van sterke encryptie en het beschermen van de eigen privacy’.

De advocaten dringen in de brief aan op: (1) Kamervragen, waarmee uitleg kan worden verschaft over de rol van Nederlandse autoriteiten bij de internationale samenwerking in de onderzoeken naar,  voornoemde communicatiediensten; (2) transparantie vanuit het Ministerie van Justitie en Veiligheid en het openbaar ministerie over de rol van de Nederlandse autoriteiten bij die internationale samenwerking; en (3) kritisch onderzoek door rechters in individuele strafzaken waarin verdachten worden geconfronteerd met bewijsmateriaal dat voortvloeit uit die internationale samenwerking.

Gevangenisstraf voor verkoop RDW-gegevens

Op 27 september 2022 zijn medewerkers Belastingdienst door de rechtbank Overijssel veroordeelt (ECLI:NL:RBOVE:2022:2703) voor het verkopen van kentekengegevens uit het RDW-systeem. Een 41-jarige man kreeg een gevangenisstraf van achttien maanden opgelegd, waarvan zes maanden voorwaardelijk. De tweede medewerker, een 47-jarige vrouw, werd veroordeeld tot een voorwaardelijke gevangenisstraf van zes maanden.

Het onderzoek ‘26Bozeman’ naar de verdachten werd gestart op basis van ontsleutelde EncroChat-berichten. Uit verschillende chats kwam naar voren dat gegevens van bepaalde kentekenhouders, waaronder namen, adressen en automerken, tegen betaling werden ingewonnen via een medewerker van de Belastingdienst. De Rijksrecherche startte daarop onderzoek Rabenau en kwam bij verdachte en medeverdachte terecht.

De kentekengegevens werden vervolgens verkocht aan derden. Dit zou hebben plaatsgevonden van maart 2017 tot en met maar 2021. In totaal hebben de verdachten gegevens van 216 kentekens in systemen van de Belastingdienst opgevraagd. De data werd op een papiertje opgeschreven, daarna gefotografeerd en via EncroChat uitgewisseld. Per verstrekt kenteken zou de man een bedrag van tussen de 50 en 200 euro hebben ontvangen.

Volgens de rechter hebben de twee hun inloggegevens waarmee ze op het systeem inlogden voor een ander doel gebruikt dan waarvoor ze die hadden ontvangen. De verdachte wordt schuldige bevonden aan het schenden van zijn ambtsgeheim (art. 272 Sr), computervredebreuk (art. 138ab Sr) en ambtelijke omkoping (art. 363 Sr). Onlangs is overigens nog een artikel verschenen over ‘computervredebreuk met een valse sleutel’, zoals in het onderhavige geval, met de veelzeggende titel: ‘Niet elke grasduinende mol is een hacker – Waarom de Hoge Raad het begrip computervredebreuk te ver heeft opgerekt’ door M. Berndsen & C.J.J. Visser in Boom Strafblad, nr. 4, 2022. Doi: 10.5553/BSb/266669012022003004008.

Overigens is de rechtbank is van oordeel dat, anders dan de raadsman stelt, noch de wet, noch de jurisprudentie vereist dat voor overdracht van door inzet van bijzondere opsporingsbevoegdheden verkregen gegevens een machtiging van de rechter-commissaris is vereist. De Encrochat-berichten zijn naar het oordeel van de rechtbank rechtmatig verkregen en kunnen voor het bewijs worden gebezigd.

In de strafmotivering overweegt de rechtbank dat ‘de integriteit van de overheid en de ambtenaren die in dienst staan van de overheid is van fundamenteel belang voor de democratische rechtsstaat. Ambtenaren kunnen vaak over een grote hoeveelheid persoonsgegevens beschikken en de samenleving moet erop kunnen vertrouwen dat zij hier op een integere wijze mee omgaan’. De rechtbank overweegt ook dat de verdachten met hun handelen mogelijk mensen in groot gevaar hebben gebracht en rekent de verdachte aan dat ze veelvuldig gegevens hebben verstrekt en dit met groot gemak deden.

In de onderhavige zaak is de veroordeeld voor 18 maanden gevangenisstraf, waarvan zes maanden voorwaardelijk met een proeftijd van drie jaren. Naast de gevangenisstraf ontzet de rechtbank de verdachte ook het recht om een openbaar ambt te bekleden voor de duur van vijf jaar.

Veroordelingen voor misbruik Coronasysteem van de GGD

Op 14 september 2022 heeft de rechtbank Rotterdam een man veroordeeld (ECLI:NL:RBROT:2022:7659) voor valsheid in geschrifte. De verdachte heeft samen met anderen valse Corona vaccinatiebewijzen en een aantal negatieve Corona testuitslagen verkocht.

De verdachte in de onderhavige zaak zorgde voor de aanwas van ‘klanten’, die de medeverdachte, die op meerdere vaccinatielocaties van de GGD werkte, valselijk als gevaccineerd in het daartoe bestemd geautomatiseerd systeem van de GGD heeft geregistreerd. Ook hebben ze valse negatieve testuitslagen doen opmaken.

De verdachte heeft gezorgd dat de ‘klanten’ een afspraak maakten op de juiste vaccinatielocatie en dag en heeft de gegevens doorgegeven die nodig waren om hen als gevaccineerd te registeren.

De officier van justitie legde ook computervredebreuk ten laste, omdat de verdachte misbruik zou hebben gemaakt van het systeem van de GGD doordat hij gebruik heeft gemaakt van zijn account met een ander doel dan waarvoor hem dat account ter beschikking stond. De rechtbank spreekt de verdachte van dit feit vrij. Een medeverdachte slechts toegang tot een account van de GGD had en uit het dossier en het verhandelde ter terechtzitting is zijn betrokkenheid bij het gebruik van het account ook niet gebleken.

De verdachte wordt veroordeeld voor 12 maanden gevangenisstraf, waarvan negen maanden voorwaardelijk met een proeftijd van twee jaar alsmede een taakstraf voor de maximale duur van 240 uur.

De medeverdachte is wel veroordeeld (ECLI:NL:RBROT:2022:7657) voor computervredebreuk. Deze heeft in het CoronIT-systeem van de GGD gegevens van de betrokken personen heeft ingevoerd, zoals hun BSN-nummer, waarna zij in het systeem als gevaccineerd werden geregistreerd. Deze digitale registratie geldt als bewijs van vaccinatie. Daarentegen acht de rechtbank – in tegenstelling tot de officier van justitie – niet bewezen dat de verdachte al dan niet samen met een ander, valselijk QR-codes heeft opgemaakt. Dit betreffen immers wel documenten die de betrokkenen – nadat zij als gevaccineerd zijn geregistreerd – zelf kunnen aanmaken via hun DigiD. Dat de verdachte dit voor of met hen deed, is niet gebleken.

De rechtbank overweegt bij de strafoplegging dat de verdachte door zo te handelen misbruik gemaakt van zijn functie als administratief medewerker bij de GGD en het vertrouwen van zijn werkgever ernstig beschaamd. Voorts heeft de verdachte hiermee het vertrouwen van de burger ernstig beschaamd. De samenleving moet immers kunnen vertrouwen op de echtheid van dergelijke registraties en op de echtheid van de documenten die mensen die als gevaccineerd geregistreerd zijn vervolgens kunnen gebruiken. De rechtbank neemt het de verdachte kwalijk dat hij hierbij enkel oog heeft gehad voor zijn eigen financiële gewin.

Cybercrime jurisprudentieoverzicht juli 2022

jjoerlemans 1 reactie

Hoge Raad acht gegevensverzameling Ennetcom rechtmatig

Op 28 juni 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:900) gewezen over de rechtmatigheid van de verkrijging van Ennetcom-data en de omgang met deze data in Nederland.

Ennetcom was een Nederlandse dienstverlener voor “pgp” communicatie. Zie in dat kader ook: Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (veroordeling oprichter Ennetcom). Deze dienst maakte het mogelijk om berichten te versturen en te ontvangen op een versleutelde wijze. Voor dit ontvangen en verzenden werd typisch – en ook in de onderhavige zaak – gebruik gemaakt van Blackberry-telefoons die ongeschikt waren gemaakt voor ‘gewoon’ gebruik, in die zin dat er niet mee gebeld, ge-sms’t of gewhatsappt kon worden en er geen foto’s mee konden worden gemaakt (zie HR 8 maart 2022, ECLI:NL:PHR:2022:219, concl. AG Hartveld, r.o. 2.3).

In deze uitgebreide samenvatting (let op: het is geen commentaar of annotatie), ga ik nader op de feitelijkheden, het oordeel van de Hoge Raad over de gegevensverzameling, de uitgebreide overwegingen van het gevolgde advies van AG Harteveld over de verstrekking van Ennetcom-data en het daarop volgende oordeel van de Hoge Raad.

Gegevensverzameling en voorwaarden Canadese rechter

De feiten over de gegevensverzameling worden kort en goed opgesomd in de conclusie van de AG (r.o. 2.5-2.8).

Op 8 april 2016 is aan Canada een rechtshulpverzoek gedaan. Hierbij is een beroep gedaan op het Rechtshulpverdrag dat Nederland en Canada hebben gesloten. Dit verzoek strekte ertoe dat de data op de BES-servers in Toronto zouden worden veiliggesteld door het maken van forensische kopieën van de data op deze servers, en dat alle beschikbare gegevens van deze servers zouden worden overgedragen aan Nederland ten behoeve van nader onderzoek in Nederland. De bevoegdheid die hier naar Nederlands recht aan ten grondslag lag, betrof, althans volgens een zich tussen de stukken bevindende vordering, de doorzoeking ter vastlegging van gegevens als bedoeld in art. 125i Sv.

Op 18 april 2016 – dus één dag na de in deze zaak bewezenverklaarde moord – is het rechtshulpverzoek door de Canadese rechter toegewezen, waarna de volgende dag een doorzoeking heeft plaatsgevonden. Hier zijn, althans opnieuw volgens een zich tussen de stukken van het geding bevindende vordering, zonder tussenkomst van derden door de Canadese politie forensische kopieën van de gevraagde data gemaakt. Tussen deze data bevonden zich niet (alleen) de zogenaamde “keys” om inbeslaggenomen telefoons mee te ontsleutelen, maar ook communicatiegegevens: de inhoud van verstuurde berichten van een grote hoeveelheid gebruikers was opgeslagen op deze servers.

Op 13 september 2016 is door het Ontario Superior Court of Justice een “sending order” uitgevaardigd waarin hij het verzoek tot toezending van de data aan Nederland heeft toegewezen. Uit deze uitspraak blijkt dat in de aanloop naar deze beslissing namens Ennetcom nog bezwaar is aangetekend tegen het verzenden van deze data aan Nederland. Dit bezwaar is door de Canadese rechter gepasseerd. Uit de uitspraak wordt duidelijk dat de Canadese rechter zich realiseert dat de te verzenden data mogelijk een grote hoeveelheid privégegevens van nog onbekend gebleven personen bevatten. Dit leidt ertoe dat hij aan de verzending een aantal voorwaarden verbindt. De gestelde voorwaarden houden onder meer in dat de data in beginsel slechts gebruikt zouden mogen worden bij de berechting van enkele nader genoemde misdrijven en slechts in de vier op dat moment bij de Canadese rechter bekende strafrechtelijke onderzoeken (zie hiervoor onder 2.4).

De Canadese rechter voorzag echter dat het waarschijnlijk zou zijn dat de Ennetcom-data ook in andere Nederlandse strafrechtelijke onderzoeken relevant zou blijken. Voor dergelijke gevallen gelastte hij dat voorafgaand aan gebruik in deze onderzoeken, ter bescherming van de privégegevens van de gebruikers van Ennetcom, steeds voorafgaande toestemming van een Nederlandse rechter (“court”) nodig zou zijn.

Ten behoeve van de onderhavige moordzaak is tweemaal om toestemming gevraagd aan een rechter-commissaris – en deze is ook verkregen, om gebruik te maken van de Ennetcom-data uit Canada (2.9-2.16). Voor het samenstellen van dataset werden andere BlackBerry telefoons gebruikt. De verdachte werd kort na de liquidatie in de nabijheid van de plaats delict aangehouden. Kort na zijn aanhouding werd in een tas twee doorgebroken BlackBerry aangetroffen. Daarnaast werd een telefoon van het slachtoffer in het onderzoek betrokken.

Oordeel gegevensverzameling Hoge Raad

De Hoge Raad acht kortgezegd het verzamelen van de gegevens op basis van een rechtshulpverzoek en met toestemming van een Canadese rechter rechtmatig. Volgens de Hoge Raad mag de officier van justitie ook een machtiging mag vorderen van de rechter-commissaris voor het gebruik van dergelijke gegevens in andere strafrechtelijk onderzoeken. De Hoge Raad verwijst daarbij naar (weliswaar in een enigszins andere context HR 5 april 2022, ECLI:NL:HR:2022:475, r.o. 6.11.3). In de onderhavige zaak betrof het door het OM aanvullen van processtukken, waarbij i.v.m. een voorwaarde zoals gesteld in uitspraak van Canadese rechter, een rechterlijke machtiging diende te worden verkregen voor gebruik van gegevens in een ander onderzoek dan de vier onderzoeken ten behoeve waarvan rechtshulpverzoek aan Canadese rechter.

De Hoge Raad overweegt dat aan Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie; hierna: Richtlijn 2002/58/EG) alleen van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken. In hoger beroep is niet is aangevoerd en ook uit de vaststellingen van het hof niet volgt dat in deze zaak bij het gebruikmaken van de toestellen van Ennetcom en het vastleggen van gegevens op servers in Canada sprake was van zodanige verwerking van persoonsgegevens.

De voeging van “alle Ennetcom-data” als processtuk of het bieden van gelegenheid voor inzage is kortgezegd volgende Hoge Raad ook niet nodig. De Hoge Raad herhaalt in dat kader de overwegingen uit HR:2021:218, met daarin de maatstaf bij de beoordeling van verzoek tot voeging van stukken bij processtukken. De verdediging kan gemotiveerd verzoek doen tot verkrijgen van inzage in specifiek omschreven stukken. Tijdens vooronderzoek kan dergelijk verzoek worden gedaan o.g.v. de in art. 34.2-34.4 Sv geregelde procedure. Na aanvang van onderzoek ter terechtzitting beslist de zittingsrechter of en zo ja, in welke mate en op welke wijze, die inzage kan worden toegestaan.

Overwegingen AG Harteveld over voeging van Ennetcom-data

AG Harteveld overwoog hierover dat “naar Nederlands recht bestaat er zoals bekend geen als zodanig benoemd recht op inzage in of afschrift van ruwe onderzoeksdata. De verdachte kan op de voet van art. 34 Sv de officier van justitie verzoeken om specifiek omschreven stukken bij de processtukken te voegen (lid 1) en daartoe toestemming verzoeken om kennisname van bepaalde stukken (lid 2). De officier van justitie kan dit echter weigeren op de grond dat het geen processtukken zijn, waarvoor getoetst moet worden aan het relevantiecriterium (art. 149a Sv)” (6.3-6.4)

Met betrekking tot relevante EHRM-rechtspraak (met name in de zaken Rook t. Duitsland, Sigurður Einarsson e.a. t. Duitsland), overweegt de AG:

6.12 Uit het voorgaande kunnen naar het mij voorkomt de volgende gezichtspunten worden afgeleid die van belang zijn voor de vraag of de omgang met grote datasets de toets van art. 6 EVRM kan doorstaan. Daarbij is steeds van belang om welk niveau van analyse het gaat.

6.13 Op het eerste niveau gaat het om het onderzoek naar de ruwe, ongefilterde data (de pimaire dataset). Het Europees Hof lijkt de verdediging in beginsel een recht toe te kennen om mee te denken over de wijze waarop die data (de “full collection of data”) wordt onderzocht. In de praktijk kan dit betekenen dat de verdediging zelf trefwoorden kan aandragen waarop zij de data wil laten onderzoeken. In dit stadium mag wat het EHRM betreft echter wel het nodige van de verdediging verwacht worden om te specificeren wat en te motiveren waarom daarnaar gezocht moet worden. Aan verzoeken die neer zouden komen op “fishing expeditions” van de zijde van de verdediging hoeft niet tegemoet te worden gekomen. Ook schrijft het EHRM niet voor dat de verdediging dit onderzoek zelf zou moeten kunnen uitvoeren. De mogelijkheid om aan te geven hoe de data onderzocht moeten worden is in deze fase voldoende. Overigens lijkt mij dat, indien de primaire dataset door bijvoorbeeld het OM reeds is onderzocht op een moment dat de verdediging hier nog bij betrokken kon worden, niets eraan in de weg staat dat dit later wordt ingehaald, in die zin dat de verdediging dan op een later moment alsnog de gelegenheid wordt geboden om dit onderzoek te (laten) doen.

6.14. Op het tweede niveau gaat het om nader onderzoek naar de resultaten van het hierboven bedoelde initiële onderzoek. Dus om de “hits” die het resultaat zijn van het doorzoeken van de data aan de hand van zoektermen (de secundaire dataset). De aldus verworven dataset zal in de regel resultaten bevatten die lang niet allemaal relevant zijn voor de zaak en kan alsnog een grote, moeilijk overzienbare hoeveelheid data bevatten. Het EHRM constateert nochtans dat de verdediging op enige wijze de mogelijkheid moet worden geboden tot het nader (laten) onderzoeken van deze data en dat “any refusal to allow the defence to have further searches of the “tagged” documents carried out would in principle raise an issue under Article 6 § 3(b) with regard to the provision of adequate facilities for the preparation of the defence.” Hoe ernstig dit “issue” zou zijn en in hoeverre dit vatbaar is voor compensatie specificeert het hof niet. Uit de rest van de uitspraak leidt ik in elk geval wel af dat ook in deze fase nog de nodige inspanningen van de verdediging verwacht mogen worden om duidelijk te maken wat zij wil onderzoeken en waarom zij dit wil. Ook valt uit het feit dat het hof redeneert dat er in de zaak Sigurður Einarsson tegen IJsland niet genoeg redenen waren om de verdediging geen toegang te verlenen tot de secundaire dataset (“tagged documents”) op te maken dat die redenen er in andere situaties wel kunnen zijn. Het recht op toegang tot de “tagged” data is dus niet absoluut. Beperkingen aan de toegang, bijvoorbeeld op grond van privacy van andere betrokkenen, blijven in deze fase dus toelaatbaar, maar zullen wel beter uitgelegd moeten worden.

6.15. In de uitspraken van het EHRM klinkt voorts door dat het in deze fase eerder in de rede ligt dat de verdediging in staat wordt gesteld om zelf onderzoek naar de data te (laten) doen. De eis wordt echter niet gesteld dat de verdediging fysiek de beschikking krijgt over de “tagged” datasets, bijvoorbeeld in de vorm van afschrift of digitale kopieën. Wanneer de verdediging de mogelijkheid krijgt tot het doen van onderzoek op bijvoorbeeld het politiebureau of – zoals in Nederland de praktijk lijkt te zijn – bij het NFI, is dat in beginsel voldoende, mits de verdediging maar voldoende tijd krijgt dit onderzoek adequaat te verrichten. Wat precies voldoende tijd is lijkt me af te hangen van de omstandigheden van het geval en dus niet in algemene zin te zeggen, al geeft de beoordeling in de zaak Rook tegen Duitsland wel enig houvast. Wel lijkt uit de rechtspraak van het EHRM te kunnen worden afgeleid dat de verdediging een effectieve mogelijkheid tot het onderzoeken moet worden geboden, waaruit dan weer volgt dat – zoals ook in Nederland gebruik lijkt te zijn – de verdediging gebruik moet kunnen maken van software die geschikt is om de data te onderzoeken. Naar Nederlands recht zou een verzoek tot inzage in en de mogelijkheid tot het doen van onderzoek aan de secundaire dataset kunnen worden ingekleed als een verzoek als bedoeld in art. 34 lid 2 Sv.

6.16. Op het derde niveau gaat het om de dataset die het gevolg is van onderzoek op het tweede niveau. Het betreft dus de data die, na een tweede (al dan niet handmatige) selectie als relevant zijn aangemerkt: de tertiaire dataset. Het gaat hier dus in wezen om de selectie van de data die gevoegd zullen worden bij de processtukken. Deze selectie zal in Nederland in de regel onder verantwoordelijkheid van het officier van justitie geschieden – hij draagt in elk geval de verantwoordelijkheid voor de samenstelling van de processtukken (art. 149a lid 1 Sv) – al heeft de verdediging op de voet van art. 34 lid 1 Sv de mogelijkheid om te verzoeken om voeging van stukken, bijvoorbeeld indien de relevantie hiervan uit het hiervoor bedoelde eigen onderzoek is gebleken. De kennisneming van de data die tot de processtukken gaan behoren kan – behoudens de mogelijkheid van art. 149b of onder uitzonderlijke omstandigheden art. 8 EVRM – niet anders dan tijdelijk (vgl. art. 30 Sv) aan de verdachte en de zittingsrechter worden onthouden. De verdachte kan van deze stukken in beginsel tevens afschrift ontvangen (art. 32 Sv).

6.17. Wanneer ik het voorgaande toepas op de onderhavige zaak leidt dit tot de volgende conclusies. Voor zover het middel rust op de opvatting dat de verdediging het recht zou hebben op kennisneming of zelfs verstrekking van alle Ennetcom-data (de primaire dataset) kan het gelet op het onder 6.13 overwogene niet slagen. Uit hetgeen ter zitting is aangevoerd (zie hiervoor onder 2.16) blijkt voorts niet dat de verdediging op enige wijze heeft gespecificeerd en gemotiveerd wat het in de primaire dataset onderzocht wilde hebben. Het hof hoefde hier dus ook niet nader op te reageren.

Oordeel Hoge Raad

De Hoge Raad overweegt dat het Hof Arnhem-Leeuwarden (ECLI:NL:GHARL:2021:1917) in deze zaak het verzoek afgewezen omdat noodzaak daarvan niet is gebleken. Daarin ligt het oordeel besloten dat deze stukken redelijkerwijs niet van belang kunnen zijn voor de door zittingsrechter te nemen beslissingen. Het Hof heeft hieraan ten grondslag gelegd dat:

  • door verdediging niet is aangevoerd dat de door OM verstrekte stukken onjuist zijn of zodanig onvolledig zijn dat hof niet in staat is vragen genoemd in art. 348 en 350 Sv goed te beantwoorden;
  • door verdediging niet is gemotiveerd dat en, zo ja, waarom sprake zou zijn van onjuistheden of onvolledigheden die betrouwbaarheid van waarheidsvinding in twijfel trekken; en
  • door verdediging geen aanwijzingen zijn genoemd of anderszins zijn gebleken dat enige informatie onrechtmatig is verkregen.

Op grond van dit een en ander heeft het hof kennelijk ook geen aanleiding gezien de verdediging inzage te geven in de verzochte stukken en daarom dat verzoek afgewezen. Voor de afwijzing van dit laatste verzoek is bovendien van belang dat het hof, naar aanleiding van het verweer dat de PGP-gesprekken (die deel uitmaken van de in deze strafzaak wel gevoegde Ennetcom-data) van het bewijs moeten worden uitgesloten, heeft overwogen dat de inhoud van de PGP-gesprekken op een groot aantal onderdelen overeenkomt met en dus bevestiging vindt in de inhoud van andere bewijsmiddelen, dat die gesprekken “de nog ontbrekende puzzelstukjes” opleveren in die zin dat de nieuwe informatie uit die gesprekken past en aansluit bij de al bekende informatie en dat uit de stukken van de zaak blijkt op welke wijze de politie de identiteit van de personen die deelnemen aan de PGP-gesprekken heeft vastgesteld (r.o. 4.5).

Het oordeel van het Hof berust niet op onjuiste rechtsopvatting en is niet onbegrijpelijk (met andere woorden: is juist). Het beroep wordt verworpen.

Hoge Raad: Instagram-account is geen zaak of vermogensrecht

In een arrest (ECLI:NL:HR:2022:687) van 24 mei 2022 oordeelt de Hoge Raad dat een Instagram-account geen ‘voorwerp’ is dat vatbaar is voor verbeurdverklaring.

Uit de wetsgeschiedenis volgt dat slechts zaken en vermogensrechten als voor verbeurdverklaring vatbare ‘voorwerpen’ kunnen worden aangemerkt (r.o. 2.5). Het oordeel van de rechtbank dat een Instagram-account niet als een zaak of vermogensrecht kan worden aangemerkt vindt de Hoge Raad juridisch juist. Dat virtuele objecten die – kort gezegd – waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt, maakt dat niet anders. De met het aanmaken van een persoonsgebonden Instagram-account geopende mogelijkheid voor de gebruiker om via een site of app beelden of andere gegevens uit te wisselen, is niet met dergelijke objecten gelijk te stellen (r.o. 2.6).

In deze samenvatting ga ik nog iets uitgebreider in op de feitelijkheden en de conclusie van AG Harteveld.

Feitelijkheden en ‘accountovername’ door de Belastingdienst

De klaagster wordt ervan verdacht dat zij via deze Instagram-accounts (valse) merkkleding zou verkopen, dan wel deze accounts zou gebruiken om mensen naar Whatsapp-groepen en andere accounts te leiden waar deze goederen werden aangeboden. In de conclusie van AG Hartveld (ECLI:NL:PHR:2022:218) is overigens te lezen dat namens de Belastingdienst werd bevestigd dat de accounts waren “overgenomen”. In deze zaak is de telefoon van de klaagster doorzocht, waarbij onder meer is gezocht naar de aanwezigheid van foto’s en lijsten van vervalste merkkleding en Whatsapp-gesprekken met potentiële afnemers. Vervolgens was het eveneens mogelijk om – via deze telefoon – toegang tot het beheer van haar Instagram-accounts te verkrijgen. Ruim twee weken later is de inbeslagneming door het OM aan Facebook (thans: Meta) per e-mail toegelicht. In deze e-mail wordt als juridische basis gewezen op onder meer art. 94 Sv in verbinding met art. 125j Sv. Daarin wordt benadrukt dat geen sprake is geweest van ‘hacking’ maar van vrijwillige toestemming (‘voluntary consent’) van de rechthebbende. Na de inbeslagname wilde het OM de accounts verbeurdverklaren, omdat sprake is geweest van strafbare feiten die zijn gepleegd met behulp van deze accounts.

Een zaak?

In de conclusie beargumenteerd AG Harteveld waarom geen sprake is van een zaak of vermogensrecht. Zaken zijn volgens art. 3:2 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de AG is het ‘evident’ dat een gebruiksrecht op een Instagram-account geen voor menselijke beheersing vatbaar stoffelijk object is en dus geen zaak in de zin van art. 3:2 BW (r.o. 3.29).

Een vermogensrecht?

De AG gaat er ook uitgebreid op in waarom een Instagram-account geen vermogensrecht is (r.o. 3.28-3.41). Volgens art. 3:6 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR:2019:1909). De AG overweegt dat ‘aangezien een gebruiksrecht op een Instagram-account geen vorderingsrecht is (noch een beperkt recht), terwijl de wet evenmin iets bepaalt over de overdraagbaarheid van Instagram-accounts, zou zo’n recht slechts overdraagbaar zijn indien deze accounts vatbaar zijn voor eigendom. Omdat een Instagram-account geen zaak is, is eigendom evenwel niet mogelijk (zie art. 5:1 BW).

Het kan ook niet worden gekwalificeerd als een recht dat ertoe strekt de rechthebbende voordeel te verstrekken. Hoewel het op tal van manieren mogelijk is om geld te verdienen met behulp een Instagram-account vloeit dit voordeel niet, althans niet rechtstreeks, voort uit het gebruiksrecht. Hiervoor is het immers nodig dat de gebruiker aanvullende actie onderneemt die los staat van de verbintenis met Instagram, bijvoorbeeld door overeenkomsten met derden te sluiten. Voor zover dus gesproken kan worden van “voordeel” aan de zijde van de gebruiker, is volgens de AG doorgaans het gevolg van de nevenwerking van het gebruiksrecht. Dit is in het algemeen onvoldoende om van een vermogensrecht te kunnen spreken.

Het zijn volgens de AG ook geen ‘rechten die verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld voordeel’. Hij overweegt dat gebruikers Instagram niet betalen Instagram in ruil voor een Instagram account, maar zij verstrekken (in plaats daarvan) informatie over zichzelf. Zo krijgt Instagram de mogelijkheid om gericht te (laten) adverteren. Ten slotte over de vraag of het gebruiksrecht op een account ‘op geld waardeerbaar is’, overweegt de AG in r.o. 3.39 het volgende:

“Vóór de gedachte dat gebruiksrechten op Instagram-accounts op geld waardeerbaar zijn spreekt het argument dat de (aanzienlijke) hoeveelheid “volgers” dat aan een account kleeft een zekere waarde vertegenwoordigt omdat het van betekenis is voor de commerciële potentie van het account. Daar staat echter tegenover dat die volgers moeilijk los gezien kunnen worden van de rechthebbende op het account, degene die wordt “gevolgd”. Zonder die persoon (of in het geval van een professioneel account: de professionele entiteit) verliest een gebruiksrecht op een account naar het mij voorkomt in elk geval een groot deel van zijn waarde.

Voor zover het loutere verzamelen van (een aanzienlijke hoeveelheid) volgers al een zekere waarde zou vertegenwoordigen, die zou uitstijgen boven de waarde die samenhangt met de gebruiker van het account, vertoont die waarde een sterke gelijkenis met goodwill. Over goodwill bestaat in de literatuur consensus dat dit niet als vermogensrecht kan worden aangemerkt”

Virtuele objecten kunnen wel zaken zijn

De Hoge Raad sluit hierbij in het arrest op aan. Dat virtuele objecten die waarde vertegenwoordigen en overdraagbaar zijn onder omstandigheden wel als zo’n voorwerp zouden kunnen worden aangemerkt (zie o.a. het Runescape-arrest (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251)), maakt dat niet anders (r.o. 2.6).

Alternatieven naast verbeurdverklaring

Ten slotte wijst de AG er in conclusie nog op de wet andere mogelijkheden biedt om accounts op sociale media – of daarop gedeelde informatie – ontoegankelijk te maken dan wel te laten vernietigen. Daarbij kan gedacht worden aan een beroep op de ‘Gedragscode notice-and-take-down’ en artikel 126o en 126p Sv. Voor deze laatste bevoegdheid tot een ontoegankelijkheidsmaking is ook een machtiging van een rechter-commissaris is vereist.

Wijzigen van saldo cadeaukaart is geen computervredebreuk

De rechtbank Noord-Holland heeft op 28 juni 2022 een verdachte vrijgesproken (ECLI:NL:RBNHO:2022:5561) van computervredebreuk, maar veroordeeld voor diefstal en oplichting. De verdachte krijgt een gevangenisstraf opgelegd van 30 dagen, waarvan 27 dagen voorwaardelijk en een proeftijd van 1 jaar. De overwegingen omtrent computervredebreuk en diefstal met de vraag of de voucher een ‘goed’ is, zijn lezenwaardig.  

De verdachte heeft op 27 december 2018 samen met de medeverdachte ontdekt dat de cadeaukaartcodes die zij van Albert Heijn kregen te dupliceren waren. Dat was mogelijk door tegelijk dezelfde code op meerdere apparaten of meerdere openstaande tabbladen naar de website te sturen en zo tegelijk meerdere vouchers te verkrijgen. Op sommige momenten lukte het om zo met één code tien vouchers te krijgen. De medeverdachte heeft van twee collega’s cadeaukaarten overgekocht om dit te kunnen doen.

Kort daarna ontdekten zij dat met een ‘brute force attack’ op het tekstveld van de website, waarbij door een programma willekeurige cijfercombinaties worden geprobeerd, cadeaukaartcodes gevonden konden worden, waarmee de website kon worden benaderd. Deze brute force attack hebben zij aanvankelijk uitgevoerd met het programma ‘Burp Suite’. Na ontdekking is de medeverdachte ontslagen bij Albert Heijn.

Als reactie op de brute force attacks is de website verder beveiligd met onder meer een blokkade van IP-adressen die meerdere keren werden gebruikt en een tweestapsverificatie. Daarbij moest een telefoonnummer worden ingevoerd waar een code naartoe werd gestuurd die weer op de website moest worden ingevoerd. De verdachte en de medeverdachte zijn in de loop van februari en maart 2019 op zoek gegaan naar manieren om deze beveiligingen te omzeilen. De verdachte heeft een PHP-script geschreven om brute force attacks uit te kunnen blijven voeren. Hierbij hadden zij de beschikking over 10.000 verschillende IP-adressen. Daarnaast hebben ze gebruik gemaakt van een grote hoeveelheid verschillende simkaarten. In totaal zijn 700 vouchers verzilverd ter waarde van ongeveer € 17.500,-.

De rechtbank overweegt of sprake is van computervredebreuk. Zij gaat er daarbij vanuit dat de ‘activiteiten op een actieve website’ activiteiten op de achterliggende server impliceren. Bij de overweging of sprake is van (wederrechtelijk) binnendringen, stelt de rechtbank allereerst vast dat geen sprake is geweest van de in de tenlastelegging omschreven feitelijke gedraging “inloggen dan wel toegang verkrijgen tot de website door middel van codes”. Uit het dossier blijkt dat de website van Albert Heijn vrij toegankelijk was; er hoefde niet ingelogd te worden. Nadat men op de website een voucher had uitgezocht, hoefde pas een code ingevoerd te worden. Er zijn onvoldoende aanknopingspunten in het dossier die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens. Er is weliswaar sprake geweest van het gebruik van een valse sleutel, als bedoeld in art. 138ab lid 1 Sr, maar de strafbepaling kan volgens de rechtbank niet zo worden gelezen dat deze handelwijze als zodanig reeds het zich verschaffen van toegang oplevert.

Ten aanzien van het betoog van de verdediging dat een voucher geen goed is als bedoeld in art. 310 Sr, overweegt de rechtbank als volgt. Onder het begrip ‘goed’ valt elk goed dat vatbaar is om voor de bezitter (economische of anderszins) waarde te hebben. Dit kunnen ook niet-stoffelijke objecten zijn, als het gaat om een object dat naar zijn aard geschikt is om aan de beschikkingsmacht van een ander te worden onttrokken. Het begrip ‘beschikkingsmacht’ wordt in de jurisprudentie onder meer geduid als het hebben van ‘feitelijke en exclusieve heerschappij’ over het goed (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)).

De digitale aard van de voucher, bestaande uit een reeks cijfers, staat er op zichzelf niet aan in de weg om het aan te merken als goed. Een voucher vertegenwoordigt een concreet vastgestelde economische waarde en is daarnaast overdraagbaar. Ook behoorden de vouchers toe aan Ahold Delhaize of al aan diens werknemers. De rechtbank overweegt dat om van diefstal te kunnen spreken, is niet noodzakelijk dat vaststaat aan wie een goed toebehoorde, maar dát het aan iemand toebehoorde. De rechtbank concludeert dat sprake is van diefstal, omdat de verdachte en/of één van zijn medeverdachten actief een aantal handelingen heeft verricht, die ‘de grondtrekken hebben van winkelen in een virtuele winkel’. De feitelijke en exclusieve heerschappij van de voucher is hiermee overgegaan naar de verdachte en/of zijn medeverdachten. De rechtbank is dan ook van oordeel dat de verdachte, tezamen en in vereniging met zijn medeverdachte(n), de vouchers heeft weggenomen.

Over het strafbaar stellen van spionage

jjoerlemans Een reactie plaatsen

Vorige week is een interview met mij (‘Q&A met hoogleraar Jan-Jaap Oerlemans‘) verschenen over de plannen van het kabinet om ‘spionage strafbaar te stellen’.

In het interview geef ik aan dat veel delicten al van toepassing kunnen zijn op de situatie dat een persoon gegevens verstrekt aan een ander persoon (mogelijk een inlichtingenofficier van een andere staat).

Daarbij kan je denken computerdelicten die van toepassing kunnen zijn bij het verzamelen van die gegevens, zoals computervredebreuk (art. 138ab Sr) en – met name ook – het verspreiden van niet-openbare gegevens (artikel 138c Sr). Dat laatste artikel is nog tamelijk recent ingevoerd met de inwerkingtreding van de Wet computercriminaliteit III op 1 maart 2019.

Ook kan je denken aan de huidige bepalingen met betrekking tot het openbaren van staatsgeheimen (artikel 98 Sr e.v.), ambtelijke omkoping (artikel 272 Sr) of het openbaren van bedrijfsgeheimen (artikel 273 Sr).

Gezien deze bepalingen is het belangrijk dat de minister van Justitie & Veiligheid goed uitlegt waarom de wetswijzigingen noodzakelijk zijn. Op het eerste gezicht zie ik de noodzaak niet zo, behalve dat gedacht kan worden aan hogere maximale gevangenisstraffen, omdat het dan eenvoudiger wordt bepaalde bijzondere opsporingsbevoegdheden in te zetten.

In het interview gaf ik aan dat het belangrijk is dat het openbaar ministerie in de beslissing om te vervolgen in oogmerking moet nemen of er sprake is van een klokkenluidersituatie en of het in het belang van Nederland is om vervolging in te stellen, of dat het bijvoorbeeld beter is een buitenlandse spion het land uit te zetten.

== UPDATE ==

Op 28 februari 2022 is het wetsvoorstel en de memorie van toelichting op internetconsultatie.nl verschenen (tot en met 25 april 2022 kan men reageren).

Mijn eerste indruk: in het wetsvoorstel komen enkele nieuwe strafbaarstellingen die strafbaar stellen: ‘het verrichten van handelingen voor een buitenlandse mogendheid of inlichtingen of een voorwerp te verstrekken’, als de verdachte weet dat

daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen.

De ratio van het conceptwetsvoorstel is dat ‘het strafrecht op dit moment nog onvoldoende mogelijkheden biedt om op te treden tegen spionageactiviteiten waarbij geen sprake is van een schending van (staats-, ambts- of bedrijfs-) geheimen, maar die wel de Nederlandse belangen ernstig schaden, of waarbij andere schadelijke handelingen worden verricht dan het verstrekken van informatie’. De voorgenomen wetswijzigingen zijn ook van belang om de Nederlandse strafwetgeving op een gelijkwaardig niveau te houden met de wetgeving in andere Europese landen.

Ook wordt een strafverzwaring geïntroduceerd als computerdelicten worden gepleegd met – eenvoudig gezegd – het oogmerk van spionage. Het gaat daarbij in het bijzonder om aanpassingen van het delict over het overnemen van niet-openbare gegevens (artikel 138b Sr) en het overnemen van gegevens na computervredebreuk (artikel 138ab Sr).

Ik ga het conceptwetsvoorstel uiteraard verder bestuderen, maar ik ben benieuwd wat anderen ervan vinden. Dus een mail of een comment is altijd welkom!

Cybercrime jurisprudentieoverzicht december 2021

jjoerlemans 3 reacties

Hoge Raad wijst nieuw arrest over computervredebreuk

De Hoge Raad heeft op 30 november 2021 een arrest (ECLI:NL:HR:2021:1691) gewezen over de begrippen ‘wederrechtelijk binnengedrongen’, ‘valse sleutel’ en ‘valse hoedanigheid’ in een tenlastelegging over computervredebreuk (art. 138ab Sr). Het ging in deze zaak om een ‘politiemol’; een verdachte die jarenlang vertrouwelijke informatie heeft opgezocht in politiesystemen en die (tegen betaling) heeft gedeeld met personen uit het criminele circuit. Daarnaast wordt hem witwassen verweten en het voorhanden hebben van valse reisdocumenten.

De verdachte had als politieambtenaar met een autorisatie toegang tot het beveiligde politiesysteem ‘Blue View’. Het systeem was beveiligd met een gebruikersnaam (zijn dienstnummer) en een wachtwoord. Het hof Amsterdam heeft reeds vastgesteld dat die autorisatie aan de verdachte was verstrekt om in het kader van zijn werk als politieambtenaar naspeuringen te verrichten, maar dat de verdachte het systeem vervolgens heeft bevraagd op gegevens over personen zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Op die manier kreeg de verdachte zonder daartoe bevoegd te zijn inzage in gegevens en nam hij deze gegevens over. Op grond hiervan heeft het hof geoordeeld dat de verdachte zijn autorisatie voor toegang tot het systeem Blue View heeft ‘misbruikt om informatie/gegevens over criminelen in te zien, deze informatie/gegevens over te nemen en deze informatie/gegevens ook aan deze criminelen te verstrekken’.

De Hoge Raad overweegt dat het oordeel van het hof Amsterdam dat hier ‘met behulp van een “valse sleutel” computervredebreuk’ wordt gepleegd, juist is (of zoals de HR dat formuleert: ‘geeft niet blijk van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk’). Daarbij wordt aansluiting gezocht in de wetsgeschiedenis. Zie r.o. 2.2.2:

In de Kamerstukken van het toenmalige wetsvoorstel wordt over het bestanddeel ‘valse sleutel’ weergegeven dat een password een sleutel is die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Daarbij werd aangehaald dat de Hoge Raad in zijn arrest van 20 mei 1986, ECLI:NL:HR:1986:AC9359, NJ 1987/130, heeft bepaald dat een huissleutel die wordt gebruikt tot opening van een slot door iemand die daartoe niet is gerechtigd, een valse sleutel is en dat niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen.

Onder verwijzing naar artikel 90 Sr, waarin geen definitie van het begrip ‘valse sleutels’ wordt gegeven maar enkel wordt aangegeven wat onder het begrip dient te worden begrepen (‘alle tot opening van het slot niet bestemde werktuigen’) – waarbij de wetgever heeft aangegeven dat “(O)nverschillig (is) of het werktuig al of niet een sleutel is, zoo het slechts niet die sleutel is, die voor opening van dat slot bestemd is.” (zie H.J. Smidt, Geschiedenis van het Wetboek van Strafrecht, Deel I, tweede druk, p. 544) – stelt het hof dat de jurisprudentie van de Hoge Raad verder ter zake van ‘valse sleutel’ heeft uitgemaakt dat ook onrechtmatig gebruik van bijvoorbeeld een bankpas of een tankpas kan worden aangemerkt als het gebruik maken van een ‘valse sleutel’. Anders gezegd: de Hoge Raad geeft een ruime uitleg aan het begrip ‘valse sleutels’ waarbij ook gebruik door een onbevoegde als een ‘valse sleutel’ kan worden aangemerkt (vgl. CAG Knigge in ECLI:NL:PHR:2017:1012 onder verwijzing naar HR 3 oktober 2017, ECLI:NL:HR:2017:2546).

Het oordeel van het hof Amsterdam dat de verdachte ook door het aannemen van een “valse hoedanigheid” computervredebreuk heeft gepleegd, ‘kan echter niet zonder meer uit de bewijsvoering worden afgeleid’. De door het hof in aanmerking genomen omstandigheid ‘dat de verdachte met het misbruik van zijn autorisatie het door zijn collega’s en de maatschappij in hem gestelde vertrouwen heeft geschonden’, volstaat daartoe niet. De Hoge Raad neemt daarbij in aanmerking dat niet blijkt dat de verdachte al een valse hoedanigheid had aangenomen toen hem de autorisatie werd verstrekt.

Het hof overwoog hierover destijds dat met betrekking tot het aannemen van een valse hoedanigheid dat het ‘in de kern erom gaat dat het handelen van de verdachte ertoe kan leiden dat bij de ander een onjuiste voorstelling van zaken in het leven wordt geroepen met betrekking tot de ‘persoon’ van de verdachte wat betreft diens hoedanigheid om daarvan misbruik te maken’ (met verwijzing naar HR 20 december 2016, ECLI:NL:HR:2016:2892, NJ 2017/158, m.nt. Keijzer, rov. 2.3.4).

Het slagen van de hierop gerichte klacht leidt niet tot cassatie, omdat het weglaten van dit deel van de bewezenverklaring de aard en de ernst van het bewezenverklaarde in zijn geheel beschouwd niet aantast.

Aanranding of ontucht zonder feitelijke aanraking

De rechtbank Overijssel veroordeelde (ECLI:NL:RBOVE:2021:4261) op 15 november 2021 een verdachte voor onder andere aanranding. Ook was ontucht ten laste gelegd, maar dat werd niet bewezen geacht.

De rechtbank overweegt of er voor ontucht het vereiste ‘relevante interactie’ is tussen de verdachte en het slachtoffer. De rechtbank verwijst hiervoor naar het ‘Pollepel’-arrest (HR 11 oktober 2005, ECLI:NL:HR:2005:AT972, r.o. 3.4 (JJO: gek genoeg kan ik dit arrest niet vinden op rechtspraak.nl en ik vermoed dat een foutje is gemaakt. Ik hoor graag wat wel de goede verwijzing is) van de Hoge Raad waarin – kort gezegd – bepaald dat seksuele handelingen die gepleegd zijn door een ander dan degene die de dwang heeft uitgeoefend, volgens de wetsgeschiedenis niet vallen onder de reikwijdte van artikel 242 Sr. Het dwingen van een ander tot het plegen of dulden van ontuchtige handelingen, ook als deze mede bestaan uit het seksueel binnendringen van het lichaam, levert volgens de wetsgeschiedenis feitelijke aanranding van de eerbaarheid op, als bedoeld in art. 246 Sr. Dit is ook zo als het slachtoffer wordt gedwongen bij zichzelf zulke handelingen te verrichten.

De rechtbank is van oordeel dat naast artikel 242 Sr ook artikel 245 Sr valt onder de werking van het ‘Pollepel’-arrest. Daaruit volgt dat artikel 245 Sr toepassing mist indien de verdachte het binnendringen niet zelf heeft gepleegd, zoals in de onderhavige casus. De verdachte kan daarom ook niet worden verweten dat hij zich heeft schuldig gemaakt aan het ten laste gelegde seksueel binnendringen van het lichaam van een persoon tussen de 12 en de 16 jaar.

Wel is sprake van aanranding. Daar kan ook sprake van zijn indien geen lichamelijke aanraking heeft plaatsgevonden tussen verdachte en slachtoffer (met verwijzing naar HR 22 maart 2011, ECLI:NL:HR:2011:BP1379). Daartoe is wel vereist dat, gelet op alle omstandigheden van het geval, tussen verdachte en slachtoffer een relevante interactie heeft plaatsgevonden. De verdachte heeft het slachtoffer niet fysiek aangeraakt, maar door bedreiging met openbaarmaking van beeldmateriaal haar gedwongen tot het verrichten van seksuele handelingen. De rechtbank is van oordeel dat daarmee sprake was van de vereiste relevante interactie tussen verdachte en het slachtoffer.  

De verdachte wordt veroordeeld tot een geheel voorwaardelijke gevangenisstraf van 6 maanden, met een proeftijd van drie jaar en 240 uur taakstraf.

Vergelijkbaar is de uitspraak van Midden-Nederland op 30 november 2021 (ECLI:NL:RBMNE:2021:5821). Daarbij werd een verdachte veroordeeld voor ontucht met een minderjarige (jonger dan 16 jaar) en het gewoonte maken van het verspreiden, verwerven, bezitten en zich de toegang verschaffen tot kinderpornografisch materiaal.

De rechtbank acht bewezen dat (ook) ontuchtige handelingen via de webcam zijn uitgevoerd. Anders dan de raadsman is de rechtbank van oordeel dat in de chatgesprekken tussen verdachte en het slachtoffer sprake is van relevante interactie, hetgeen vereist is voor een bewezenverklaring van ontuchtige handelingen zonder lichamelijk contact. Uit de inhoud van de chatgesprekken en uit de verklaring van verdachte volgt dat sprake is van actie en reactie in de gesprekken, waarbij het initiatief voor het seksuele contact via de webcam van verdachte uitgaat, hetgeen vervolgens leidt tot de ontuchtige handelingen zoals die zijn beschreven in de tenlastelegging.

Heimelijk forensische kopie van telefoon gemaakt

Een uitspraak van de rechtbank Midden-Nederland van 12 oktober 2021 (ECLI:NL:RBMNE:2021:4932) is het vermelden waard vanwege opvallende overwegingen omtrent de rechtmatigheid van een onderzoek aan een smartphone. De verdachte wordt in deze zaak veroordeeld voor een voorwaardelijke gevangenisstraf voor deelname aan criminele organisatie, het medeplegen van dealen van cocaïne en het voorhanden hebben van drugs.

De verdediging stelt in deze zaak dat de heimelijke inbeslagname van de twee telefoons (en het heimelijk maken van een forensische kopie daarvan) onrechtmatig heeft plaatsgevonden, omdat er geen machtiging van de rechter-commissaris is afgegeven voor deze handeling. Daarnaast zouden telefoons niet op deze manier, zonder kennisgeving, op basis van art. 94 Sv in beslag genomen hadden mogen worden.

De rechtbank overweegt in par. 4.3 dat de verdachte verband met een vernieling is aangehouden. Tijdens zijn insluiting heeft de politie twee telefoons kort in beslag genomen en van één van die telefoons is een forensische kopie gemaakt. De verdachte is hierover niet in kennis gesteld.

De rechtbank overweegt dat deze handelswijze niet bij wet is voorzien. Er is in strijd gehandeld met art. 94 Sv, omdat de verdachte is niet van de inbeslagname op de hoogte gebracht. In tegenstelling tot wat de officier van justitie heeft betoogd, biedt ook art. 126g Sv geen grondslag voor deze heimelijke inbeslagname. Het stelselmatig volgen of waarnemen van een persoon is iets wezenlijks anders dan het kopiëren van de inhoud van een telefoon.

Toch overweegt de rechtbank dan geen sprake is van een ‘ernstige privacy-schending’, omdat het een ‘dealertelefoon’ is geweest die weinig sociale contacten bevatte en daarnaast was de inbreuk op het eigendomsrecht van de verdachte ‘zeer beperkt’, omdat de verdachte na vrijlating weer beschikking kreeg over de telefoon.

De rechtbank komt tot de vaststelling dat er sprake is geweest van twee vormverzuimen in het voorbereidend onderzoek jegens verdachte, te weten de heimelijke inbeslagname van de telefoons en het verstrekken van de historische verkeersgegevens. Op basis van voornoemde beoordeling van de vormverzuimen – wat betreft de aard en de ernst van het verzuim en het nadeel van verdachte – komt de rechtbank tot de conclusie dat het nadeel dat verdachte daarmee heeft geleden zeer beperkt is gebleven en door de verdediging weinig specifiek is onderbouwd. De rechtbank volstaat daarom met de constatering dat er sprake is van vormverzuimen heeft plaatsgevonden en verbindt hier geen verdere gevolgen aan.

Veroordeling voor QR-code fraude

Op 21 oktober 2021 veroordeelde (ECLI:NL:RBAMS:2021:6000) de rechtbank Amsterdam een verdachte voor oplichting en het aanwezig hebben van harddrugs. De feiten over oplichting en overwegingen omtrent de vraag of een internetbankieren-applicatie een geautomatiseerd werk is, zijn interessant.

De verdachte pleegde ‘QR-fraude’ gebruik van de ING internetbankieren-app. De fraudeur vroeg het slachtoffer om een overboeking via de telefoon en vraagt dan om de telefoon om zijn rekeningnummer in te voeren. Ondertussen scant hij dan een QR-code en neemt de bankrekening-app over. Op de telefoon waar de rekening wordt gehouden, komt een bevestiging binnen die gebruikt moet worden op de telefoon met de QR-code. De fraudeur heeft dus de QR-code aangevraagd. Op het moment dat de fraudeur met de QR-code en de bevestigingscode de rekening heeft overgenomen, heeft de fraudeur de beschikking over de rekening

Voor computervredebreuk wordt de verdachte vrijgesproken, omdat in de tenlastelegging de internetbankieren-applicatie als geautomatiseerd werk werd aangemerkt in de zin van artikel 80sexies Sr. Dat kan niet, omdat het bij gaat om ‘fysieke apparaten’, aldus de rechtbank. De rechtbank wijst erop dat servers als zijnde een geautomatiseerd werk niet in de tenlastelegging worden genoemd. De rechtbank acht ook niet bewezen dat verdachte bankgegevens/een QR-code heeft gestolen, omdat uit het dossier niet blijkt dat deze buiten het bereik van de rechthebbende zijn gebracht. De officier van justitie kan uit deze uitspraak aldus de nodige lessen trekken bij het formuleren van een tenlastelegging bij QR-code fraude.  

Geheimhouding details EncroChat-operatie

In een uitspraak van 11 oktober 2021 (ECLI:NL:RBROT:2021:10412) gaat de rechtbank Rotterdam nader in op de redenen waarom geheimhouding van bepaalde details van de EncroChat-operatie noodzakelijk is. De beslissing op een vordering ex 149b Sv strekt tot onthouding van gegevens betreffende het interceptiemiddel en onthouding van (identificerende) gegevens betreffende zaaksofficieren van justitie en verdachten en getuigen.

Op grond van art. 187d lid 1 sub b Sv moet worden overwogen of het achterwege laten van toevoegen van de zwartgelakte stukken noodzakelijk is vanwege een “zwaarwegend opsporingsbelang”. Hoe het binnendringen in de telefoontoestellen van EncroChat-gebruikers precies is gebeurt wordt in die stukken niet prijsgegeven. De rechters-commissarissen stellen vast dat de weggelakte passages, zoals vermeld door de officieren van justitie, zien op de aard en werking van het ingezette interceptiemiddel.

Naar het oordeel van de rechters-commissarissen kan de onthulling daarvan verstrekkende gevolgen hebben voor lopende en toekomstige onderzoeken die afhankelijk zijn van een succesvolle inzet van (een) soortgelijk(e) interceptiemiddel(en). Kennisneming van deze werkwijze(n) door de verdachte(n) of door derden maakt immers dat zij daarop kunnen anticiperen en dat de informatiegaring, onderzoeksvoorbereiding en opsporingsmogelijkheden aan effectiviteit zullen inboeten of niet langer mogelijk zullen zijn. Gelet daarop wordt het onthouden van die passages aan de processtukken noodzakelijk geacht. Nu het weglaten uitsluitend de technische aspecten van de gebruikte opsporingsmethodiek betreft, is de verdediging met het achterwege laten van het voegen van die betreffende specifieke informatie volgens de rechtbank niet op enigerlei wijze in zijn belang geschaad.

Ook stellen de rechters-commissarissen stellen vast dat de passages die in de bovengenoemde stukken door de officieren van justitie zijn zwartgelakt, zien op (identificerende) gegevens van de betrokken zaaksofficieren van justitie alsmede van verdachten en getuigen uit andere onderzoeken. Het bekend worden van de namen van de officieren van justitie levert een potentieel veiligheidsrisico voor hen op waarvan zij ernstige overlast kunnen ondervinden en waardoor zij in de uitoefening van hun ambt ernstig kunnen worden belemmerd.

Cybercrime jurisprudentieoverzicht november 2021

jjoerlemans

Ontoegankelijkheidsmaking Telegram-kanaal

Op 8 oktober 2021 heeft een rechter-commissaris van de rechtbank Den Haag een beschikking gewezen over het ontoegankelijk maken van een Telegram-kanaal. De beslissing kreeg veel media-aandacht (zie bijvoorbeeld dit bericht en dit bericht) (niet altijd juridisch juist overigens door een onduidelijk persbericht, zie ook de blogs van Ius Mentis).

De rechter-commissaris wijst het verzoek op grond van art. 181 jo 125p Sv toe en verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in drie Telegram-groepen ontoegankelijk te maken. Onder meer de verdachte is eigenaar en beheerder van deze Telegram-groepen. Volgens de rechter-commissaris is aannemelijk geworden dat, vanwege de in de vordering beschreven omstandigheden, de aanbieder niet meewerkt aan een vordering.

Het ‘ontoegankelijkheidsmakingsbevel’ in artikel 125p Sv is met de Wet computercriminaliteit III gewijzigd. Het idee is volgens de memorie van toelichting wel dat het bevel pas wordt ingezet als de elektronische communicatiedienstverlener geen opvolging geeft aan een verzoek op vrijwillige basis actie te ondernemen (Kamerstukken II 2015/16, 34372, nr. 3, p. 57). De rechter-commissaris overweegt dat in het artikel staat dat een aanbieder van een communicatiedienst maatregelen moet nemen om die gegevens ontoegankelijk te maken, terwijl deze vordering ertoe strekt dat een opsporingsambtenaar dat doet. Toch acht de rechter-commissaris dat verschil niet wezenlijk en gaat hij of zij tot een ‘analoge toepassing’ van artikel 126p Sv over, zodat tot de beëindiging en voorkoming van ernstige strafbare feiten kan worden overgegaan.

Hier gaat het om Telegramkanalen waarbij een persoon in verband wordt gebracht met satanisch-pedofiele misdrijven. De verdachte is veroordeeld alle gedane uitlatingen binnen 48 uur te verwijderen en verwijderd te houden. In de Telegram-groep worden echter vergelijkbare berichten en video’s verspreid. Het voortzetten van de strafbare feiten acht de rechter-commissaris in strijd met de openbare orde. De vordering strekt ertoe dat dat wordt voorkomen. Wel erg kort overweegt de rechter-commissaris dat ‘naar het oordeel van de rechter-commissaris is daarmee aan de eisen van proportionaliteit en subsidiariteit voldaan’.

Hof Den Haag legt meer beperkingen op bij doorzoeken smartphones

In een arrest (ECLI:NL:GHDHA:2021:1873) van 26 augustus 2021 over grootschalige oplichting via Markplaats en computervredebreuk, verfijnt het Hof Den Haag het Smartphone-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584).

Indien het onderzoek van de gegevens op een digitale gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, dan dient de rechter-commissaris – die de inbeslaggenomen gegevensdragers voor onderzoek overdraagt aan een opsporingsdienst – te bepalen of er beperkingen aan dat onderzoek moeten worden verbonden.

“Bij die beslissing en bij het bepalen van aard en omvang van die eventuele beperkingen zullen factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft een rol kunnen spelen. Daarbij kan onder meer worden gedacht aan beperkingen betreffende het aantal te onderzoeken gegevensdragers, beperkingen betreffende de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag et cetera) en beperkingen betreffende de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende digitale-gegevensdrager terecht zijn gekomen. Ook kan worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek.”

In het onderhavige geval heeft een dergelijke toetsing niet kenbaar plaatsgevonden. In de eerste fase is op 24 februari 2016 hoofdzakelijk een aantal Skype-gesprekken onderzocht, maar deze waren niet gericht op de verdachte, waardoor niet onrechtmatig is gehandeld jegens hem. In de tweede fase zijn op 13 april 2016 de hiervoor weergegeven digitale gegevensdragers onderzocht louter ter vaststelling van de identiteit van de gebruiker daarvan. Bij gebreke van andere mogelijkheden voor die vaststelling dan het onderzoeken van een beperkt aantal gegevens op de verschillende digitale gegevensdragers had de rechter-commissaris hiervoor toestemming mogen geven, zodat het hof dit onderzoek niet onrechtmatig acht. Nadien zijn alle gegevensdragers uitvoerig onderzocht. Gegeven de zeer forse omvang van de strafbare feiten waarop het tegen de verdachte ingestelde onderzoek betrekking had en de vrijwel uitsluitend digitale aard van die strafbare feiten en daarmee ook van de mogelijke aanwijzingen van betrokkenheid van de verdachte daarbij, had de rechter-commissaris ook hiervoor toestemming mogen geven, zodat het hof ook dit onderzoek niet onrechtmatig acht.

Ten aanzien van de inbeslaggenomen BTC 0,549 gelast het hof de teruggave aan verdachte. Het hof stelt vast dat dit geldbedrag is aangetroffen in een ‘wallet’ op een Asus laptop. De vraag die de verdediging aan het hof voorlegt is welke waarderingsgrondslag dient te worden gehanteerd om de tegenwaarde van de bitcoins in euro’s te berekenen. Tot een dergelijke waardebepaling is de rechter niet bevoegd. Bij arrest van heden in de zaak van een medeverdachte heeft het hof de teruggave van de Asus laptop aan verdachte gelast. Wanneer de last tot teruggave betrekking heeft op een voorwerp dat reeds is vervreemd – en aldus teruggave daarvan feitelijk niet meer mogelijk is –, dan is art. 119, lid 2, Sv ingevolge art. 353, lid 3, Sv van overeenkomstige toepassing. De omstandigheid dat art. 119, leden 1 en 2, Sv van overeenkomstige toepassing is, brengt mee dat de last tot teruggave is gericht tot de bewaarder van het voorwerp. In geval het voorwerp tegen baat is vervreemd, zal de bewaarder vervolgens overgaan tot uitbetaling van de verkregen opbrengst.

De verdachte wordt in hoger beroep veroordeeld voor 21 maanden gevangenisstraf.

Oprichter Ennetcom B.V. veroordeeld

De rechtbank Rotterdam heeft op 21 september 2021 een oprichter van Ennetcom B.V. veroordeeld (ECLI:NL:RBROT:2021:9085) voor deelname aan een criminele organisatie, gewoontewitwassen, medeplegen van valsheid in geschrift en verboden munitie- en wapenbezit. Daarbij heeft de bestuurder een flinke gevangenisstraf opgelegd gekregen van 54 maanden. De uitspraak is interessant en relevant, omdat het veel verweren van de verdediging bevat die ook in toekomstige EncroChat- en SkyECC-zaken gaan spelen. Het voert te ver in dit bericht op alle verweren in te gaan. Daarom worden de nieuwe en interessante verweren uitgelicht. Zie ook dit nieuwsbericht in het Parool over de zaak.

De verdediging heeft haar stelling dat het Openbaar Ministerie de data slechts heeft gekopieerd om inzage te verkrijgen in alle inhoudelijke communicatie van gebruikers van telefoons en daarmee sprake is van misbruik van bevoegdheden ‘detournement de pouvoir’ volgens de rechtbank niet voldoende onderbouwt. De rechtbank is daarom van oordeel dat de dataset niet door middel van machtsmisbruik of in strijd met fundamentele rechtsbeginselen is verkregen. Het opsporingsonderzoek richtte zich volgens het Openbaar Ministerie op de verdachte rechtspersoon en op de rol van de medeverdachte. Teneinde die strafrechtelijke hypothese te onderzoeken, is het onderzoek gericht op de geldstromen en de digitale infrastructuur van de entiteiten; de servers daaronder begrepen. Voor de verdenking en vervolging van witwassen is het immers van belang dat komt vast te staan dat (een groot deel van) de klanten van de verdachte in de criminaliteit actief zijn en dat dus de omzet van de verdachte direct of indirect afkomstig is uit (enig) misdrijf. Daar komt volgens de rechtbank bij dat de door de verdediging gestelde schending van grondrechten van onbekende derden en het gegeven dat de communicatie van de medeverdachte in andere onderzoeken terecht is gekomen, geen van alle schending opleveren van enig concreet belang van de verdachte rechtspersoon in deze zaak.

De verdediging heeft aangevoerd dat artikel 125i Sv onvoldoende grondslag biedt voor de verkrijging van de data. Het doel van de inzet was immers de verkrijging van onder meer inhoudelijke communicatie tussen de gebruikers en hun contacten. De rechtbank overweegt dat artikel 125la Sv voorschrijft dat in de vast te leggen gegevens die worden aangetroffen bij een doorzoeking op grond van artikel 125i Sv en vergt bovendien een machtiging van de rechter-commissaris. Deze voorwaarden bieden, analoog aan het briefgeheim, extra bescherming aan de verzenders en ontvangers van berichten, die ervan uit mogen gaan dat hun berichten tijdens het ‘transport’ niet zomaar mogen worden gelezen. De rechtbank acht ook artikel 125la Sv van toepassing. Bij het aantreffen van de e-mails mocht de politie dus slechts kennisnemen van de inhoud daarvan voor zover deze klaarblijkelijk van de verdachte rechtspersoon afkomstig waren, voor hem bestemd waren, op hem betrekking hebben of tot het begaan van het strafbare feit hebben gediend, ofwel klaarblijkelijk met betrekking tot die gegevens het strafbare feit is gepleegd. Bovendien was een machtiging van een rechter-commissaris noodzakelijk voorafgaand aan kennisname van de inhoud van de berichten. Het staat vast dat de officier van justitie een dergelijke machtiging niet heeft gevraagd. De rechtbank volstaat met de constatering dat dat sprake is van een vormverzuim, mede omdat de verdachte rechtspersoon niet in haar verdedigingsbelangen geschaad, anders dan dat belastende berichten en notities in het dossier zijn gebruikt.

Het verweer dat de verdediging niet in de gelegenheid is gesteld om de data-analyse inhoudelijk te controleren, verwerpt de rechtbank, omdat de verdediging meer dan eens keren is uitgenodigd om specifiek te benoemen welke data men wenste in te zien, dan wel onder toezicht toegang tot de volledige data te krijgen. De rechtbank onderkent dat het verkrijgen en onderzoeken van dergelijke grote datasets een bedreiging kan vormen van het recht op gelijke proceskansen. De rechtbank is het ook eens met de verdediging dat zij in het kader van het recht op een eerlijk proces (en dus gelijke proceskansen) moet kunnen controleren of de door Hansken geproduceerde resultaten betrouwbaar zijn. Daartoe mag van de verdediging echter wel worden verwacht dat zij concreet maakt op welke punten deze controle – al dan niet door een deskundige – moet plaatsvinden en dat heeft de verdediging nagelaten.

Veroordeling voor GGD-datadiefstal

Op 14 september 2021 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2021:4419) voor computervredebreuk, vanwege het binnendringen in het CoronIT-systeem, het overnemen van de gegevens van 98 personen en vervolgens tegen betaling beschikbaar stellen van die gegevens via Snapchat, Instagram, Facebook en Telegram. Het CoronIT-systeem is ontwikkeld voor de GGD ten behoeve van het maken van testafspraken, het uitvoeren van bron- en contactonderzoek omtrent Covid-19 besmettingen en het inplannen van afspraken voor vaccinaties. Via Telegram, Snapchat en Whatsapp heeft de verdachte ook gegevens gedeeld met derden. De verdachte heeft hiervoor €50,- aan Bitcoin ontvangen. De verdachte wordt door de rechters veroordeeld tot een gevangenisstraf van 10 maanden, waarvan 5 maanden voorwaardelijk met een proeftijd van 2 jaar.

Zeer interessant is de overweging omtrent computervredebreuk. De verdachte had uit hoofde van zijn werk voor de GGD rechtmatig toegang tot het CoronIT-systeem, en vrije toegang tot de personeelsgegevens. Daarom is het de vraag of sprake is van wederrechtelijk binnendringen in een geautomatiseerd werk. De rechtbank overweegt dat met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht aansluiting is gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor delen van het geautomatiseerde werk wordt overschreden, kan een sleutel, door het onbevoegd gebruik maken daarvan, een valse sleutel worden. Aan de verdachte was deze toegang tot het CoronIT-systeem verschaft om, uitsluitend in het kader van de uitoefening van zijn werk enkel en alleen de gegevens in te zien van de personen met wie hij via de test- en vaccinatielijn contact had. De verdachte heeft een cursus gevolgd waarin werd uitgelegd hoe hij moest omgaan met persoonsgegevens en heeft een geheimhoudingsverklaring getekend. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien. Hieruit volgt volgens de rechtbank dat de verdachte weliswaar was geautoriseerd, maar onbevoegd ter zake van de gegevens van de personen die hij op eigen initiatief heeft opgezocht, zich opzettelijk en wederrechtelijk de toegang heeft verschaft tot het CoronIT-systeem. De verdachte wist dat hij zich in een beveiligd systeem bevond en heeft doelbewust de beveiliging van dat systeem doorbroken, met een ander doel dan het uitvoeren van zijn werkzaamheden. Daarmee is opzettelijk en wederrechtelijk een geautomatiseerd werk binnengedrongen met behulp van een valse sleutel. Dat betekent dan ook dat verdachte zich schuldig heeft gemaakt aan computervredebreuk, zoals omschreven in artikel 138ab Sr.

Voor de onderbouwing van dit standpunt verwijst de rechtbank naar het arrest van het Hof Den Bosch 4 mei 2020, ECLI:NL:GHSHE:2020:1514 en de conclusie van AG Spronken bij de Hoge Raad van 31 augustus 2021, ECLI:NL:PHR:2021:777. De Advocaat-Generaal toont in rechtsoverweging 5.30 de zelfreflectie dat

“de reikwijdte van het wederrechtelijk binnendringen zoals strafbaar gesteld in art. 138ab lid 1 Sr potentieel erg groot wordt. Immers een werknemer die uit nieuwsgierigheid grasduint in de voor hem met wachtwoord toegankelijke systemen zal dat (op basis van interne regels) al snel onbevoegd kunnen doen, omdat dit niet altijd (strikt) noodzakelijk is voor de functie-uitoefening. Ook indien de gegevens alleen worden bekeken en niet overgenomen zal reeds sprake zijn van het overtreden van het bepaalde in art. 138ab lid 1 Sr (het binnendringen).”

Zoals subsidiair ook ten laste is gelegd kon mogelijk ook het opzettelijk en wederrechtelijk overnemen van niet-openbare gegevens uit een geautomatiseerd werk (artikel 138c Sr) worden bewezen. Deze bepaling is ook bedoeld voor gevallen waarin de dader rechtmatige toegang heeft tot de gegevens, maar deze wederrechtelijk overneemt (Kamerstukken II 2015/16, 34372, nr. 3, p. 64). Voor dit een artikel staat een lagere gevangenisstraf dan voor computervredebreuk. Als de gegevens vervolgens ter beschikking worden gesteld (via WhatsApp) bijvoorbeeld zou overigens ook sprake kunnen zijn van het delict ‘heling van gegevens’ (139g Sr), maar dat is in deze zaak niet ten laste gelegd.

Veroordeling grooming virtuele minderjarige

De rechtbank Gelderland veroordeelde op 13 september 2021 een 62-jarige verdachte voor grooming van een virtueel meisje van 14 jaar (ECLI:NL:RBGEL:2021:4859). Hij krijgt een gevangenisstraf van 4 maanden opgelegd met een proeftijd van drie jaar en een werkstraf van 200 uur. Sinds de Wet computercriminaliteit III is ook het grooming van een virtuele creatie van een persoon die de leeftijd van zestien jaren nog niet heeft bereikt strafbaar.

Een getuige heeft verklaard dat ze lid was geworden van de groep ‘Pedofiel ontmaskerd.nl’ en daarom een account heeft gemaakt op Chatplaza (in dat kader vond ik dit nieuwsbericht over dat ‘pedohunten’ nu minder voorkomt interessant). Een van de personen die op het bericht reageerde en verder vroeg, was de verdachte. De verdachte vroeg haar om verder te praten op ‘KIKplaza.’ Via KIK heeft ze verdachte zeker drie keer verteld dat ze 14 jaar was en verdachte vertelde dat hij 51 of 61 jaar was. Eerst gingen de gesprekken over school en dagelijkse dingen, maar al snel vroeg hij naar dominantie en sprak hij over vastbinden. Hij wilde een afspraak maken in het bos om te zoenen, knuffelen en strelen. Die afspraak kwam tot stand doordat verdachte zei dat ze elkaar moesten zien. Zij had naar hem gemaild dat dat kon omdat haar moeder niet thuis zou zijn. Aan de hand daarvan hebben ze afgesproken. Dat was op 27 november 2020 in Apeldoorn.

Anders dan de raadsman is de rechtbank van oordeel dat bewezen kan worden verklaard dat de verdachte een ontmoeting met een virtueel persoon heeft voorgesteld. Dit volgt naar het oordeel van de rechtbank uit de hiervoor aangehaalde berichten, waarin de verdachte meermalen vraagt naar en zinspeelt op een daadwerkelijke ontmoeting en zo steeds de gelegenheid creëert om een ontmoeting te laten plaatsvinden. Uit de expliciet seksuele inhoud van het chatverkeer tussen verdachte en de virtuele persoon dat voorafging aan deze afspraak, trekt de rechtbank verder de conclusie dat verdachte deze afspraak heeft gemaakt met het oogmerk om seksuele of ontuchtige handelingen met het virtuele meisje te plegen. Dat, zoals verdachte ter zitting heeft verklaard, hij alleen met haar wilde gaan wandelen, vindt de rechtbank gelet op de inhoud van de berichten niet geloofwaardig.

Cybercrime jurisprudentieoverzicht september 2021

jjoerlemans Een reactie plaatsen

Veroordeling op basis van bewijs uit Sky ECC

Op 19 augustus 2021 heeft de rechtbank Amsterdam een van de eerste verdachten veroordeeld (ECLI:NL:RBAMS:2021:4320) (mede) op basis van de berichten die zijn veilig gesteld van de ‘cryptochat-app’ ‘Sky ECC’. In een operatie van Belgische, Franse en Nederlandse opsporingsinstanties in maart 2021 zijn honderden miljoenen berichten van ongeveer 70.000 Sky ECC-gebruikers onderschept. Deze berichten worden onderzocht op strafbare feiten, waarna opsporingsonderzoeken worden opgestart. Volgens Europol waren veel personen naar Sky ECC overgestapt na de EncroChat operatie in 2020. Wereldwijd maakten 170.000 personen gebruik van de tool, waarbij 3 miljoen berichten per dag tussen gebruikers werden verstuurd. Ongeveer 20 procent van de klanten komen volgens Europol uit België en Nederland. De servers van de elektronische communicatiedienst stonden in de Europese Unie.

In het onderzoek ‘26Chesham’ staat de uitvoer van cocaïne centraal. Het opsporingsonderzoek 26Chesham is gestart naar aanleiding van informatie afkomstig uit het onderzoek ‘26Argus’. 26Argus betreft het onderzoek naar een berichtenapp Sky ECC. Het bedrijf installeerde versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. Het berichtenverkeer liep via servers in Frankrijk en Canada. De rechtbank overweegt verder dat de CEO en werknemers van Sky Global in de Verenigde Staten zijn aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties. In het onderzoek 26Argus worden chats van de gebruikers van deze software en cryptotelefoons op basis van vooraf door de rechters-commissaris in dat onderzoek goedgekeurde trefwoorden onderzocht.

De verdediging voert aan dat sprake is van vormverzuimen, omdat de officier van justitie heeft nagelaten tijdig de essentiële stukken te overleggen die nodig zijn om te kunnen toetsen of het gebruik van informatie uit het onderzoek 26Argus rechtmatig is geweest. Op deze wijze wordt de verdediging ervan weerhouden de verdediging effectief uit te kunnen voeren, waardoor de rechten van verdachte worden geschonden. De rechtbank overweegt dat – omdat verdachte zelf heeft verklaard dat hij niet actief gebruik heeft gemaakt van zijn Sky ECC-telefoon en dat hij daarop geen berichten heeft gezien – ‘het de rechtbank niet duidelijk wat het vermeende vormverzuim voor nadelige gevolgen voor de verdachte heeft gehad’. De verweren slagen daarom niet.

De rechtbank neemt de aanwezigheid van ‘encrypted telefoons’ bij alle vier de verdachten in aanmerking. Volgens de rechtbank is ‘het is een feit van algemene bekendheid dat criminelen met zulke telefoons over de uitvoering van strafbare feiten communiceren, omdat de daarmee verzonden versleutelde berichten moeilijk te onderscheppen zijn’. Gebleken is dat ‘aan de Sky-id van [naam 1] op 8 maart 2021 een bericht is gestuurd met het adres waar hij vlak daarna door [verdachte] is opgehaald en naar de loods is gebracht’. Dat ook over het transport is gecommuniceerd met encrypted telefoons blijkt ‘uit het bericht dat op de Sky ECC-telefoon van [naam 1] is aangetroffen, betreffende het adres waar hij op 8 maart [verdachte] zou ontmoeten’.

De rechtbank acht bewezen het medeplegen van een poging tot uitvoer van 125 kilogram cocaïne op 8 maart 2021 te Cruquius alsmede het medeplegen van het opzettelijk aanwezig hebben van die cocaïne op diezelfde dag bewezen. De verdachte in deze zaak krijgt een gevangenisstraf opgelegd van 5 jaar. 

Beslissing inzake inzet bevoegdheden EncroChat

Ik heb mijn cybercrime jurisprudentieoverzicht al meerdere keren strafzaken besproken (zie hier, hier en hier) die voortvloeien uit de EncroChat-operatie, waarbij miljoenen berichten zijn verzameld en geanalyseerd door politie en justitie. Uit deze operatie komen nog steeds strafzaken uit voort, waarvan in deze rubriek er één wordt uitgelicht, omdat het een nieuwe ontwikkeling betreft.

De rechtbank Den Haag besliste op 25 augustus 2021 over onderzoekwensen in verband met EncroChat (ECLI:NL:RBDHA:2021:9368). Het meest relevante onderdeel van de beslissing is het onderdeel over de verstrekking van (ook onderliggende gegevens) bij de machtiging van de rechter-commissaris voor het gebruik van EncroChat-gegevens voor strafzaken.

De verdediging voert aan dat de officier van justitie inmiddels de machtiging van de rechter-commissaris d.d. 27 maart 2020 bij de stukken heeft gevoegd, voorzien van een begeleidende brief van het OM d.d. 7 juli 2021. De voeging heeft plaatsgevonden op grond van de volgende overweging die door diverse rechtbanken (in vrijwel gelijkluidende zin) is gebruikt:

Het feit dat de rechter-commissaris diverse voorwaarden heeft gesteld aan het gebruik van de dataset 26Lemont voor andere opsporingsonderzoeken, doet vermoeden dat de rechter-commissaris belangen van de gebruikers heeft afgewogen tegen de relevante opsporingsbelangen en daarbij aan de vereisten van subsidiariteit en proportionaliteit heeft getoetst. De rechtbank kan dit op basis van de nu verkregen stukken echter niet nagaan. Zowel de verdediging als de rechtbank beschikt slechts over het dictum van de 126uba-machtiging en niet over de inhoudelijke afwegingen van de rechter-commissaris om tot verlening van de machtiging over te gaan. De rechtbank wil op dit punt nader worden geïnformeerd.

De rechtbanken willen dus vooral geïnformeerd worden over de afweging die de rechter-commissaris bij het opstellen van de voorwaarden voor het gebruik van de dataset heeft gemaakt met betrekking tot de belangen van de gebruikers en welke toets hij ten aanzien van de subsidiariteit en proportionaliteit heeft aangelegd.

De verdediging heeft echter nog een ander punt naar voren gebracht, namelijk het gebruik van de bevoegdheid van artikel 126uba Sv. De rechter-commissaris constateert dat de machtiging niet alle door de verdediging opgeworpen vragen lijkt te beantwoorden. De (deels gezwarte) machtiging bevat bijvoorbeeld niet (expliciet/zichtbaar) alle onderdelen van het bevel, zoals is voorgeschreven in artikel 126uba lid 3 juncto 126nba lid 4 Sv. In de machtiging wordt wel verwezen naar de vordering (p. 5: “machtigt (…) overeenkomstig de vordering”), processen-verbaal van de politie en een brief van de officier van justitie, maar deze stukken zijn niet gevoegd. Naar het oordeel van de rechter-commissaris moet de verdediging in de gelegenheid worden gesteld een rechtmatigheidstoets uit te voeren naar het gebruik/de verwerking van deze data met het oog op een eventueel verweer daaromtrent. Daarvoor kan niet worden volstaan met de machtiging, ook de andere daaraan gerelateerde stukken – zoals de vordering, de onderliggende processen-verbaal, de genoemde brief en het/de op de machtiging gevolgde bevel(en) (verzoek 1) – zullen moeten worden verstrekt. Datzelfde geldt voor de verlengingen (verzoek 2).

De rechter-commissaris ziet onder ogen dat het voegen van al deze stukken (in hun geheel) gevoelig ligt. Zo staat in de begeleidende brief bij het verstrekken van de machtiging beschreven dat het respecteren van het staatsgeheim van Frankrijk meebrengt dat door de zaaksofficieren van 26Lemont is besloten om de passages in de beschikking die op dat deel betrekking hebben, zwart te maken.

De rechter-commissaris is van oordeel dat de afweging welke stukken (en welke delen daaruit) wel en niet gevoegd kunnen worden, niet (uitsluitend) bij het OM moet liggen. De rechter- commissaris verwijst daarvoor naar artikel 149b Sv: als de officier van justitie vanwege belangen als vermeld in artikel 187d lid 1 Sv, zoals een zwaarwegend opsporingsbelang, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege wil laten, behoeft hij daartoe een schriftelijke machtiging van de rechter-commissaris.

Gelet op het voorgaande zal de rechter-commissaris beslissen dat de verzoeken 1 en 2 zullen worden toegewezen en dat de betreffende 126uba-machtiging en de daaraan gerelateerde stukken in beginsel volledig en ongezwart bij de processtukken dienen te worden gevoegd. Wel staat daarbij de weg van artikel 149b Sv open. De rechter-commissaris kan op vordering van de officier van justitie een machtiging verlenen om bepaalde stukken niet te voegen of onderdelen daaruit te ‘zwarten’. Anders dan de rechtbank kan de rechter-commissaris wel kennisnemen van de volledige inhoud van de stukken. Voor de goede orde merkt de rechter-commissaris op dat deze beslissing ook geldt voor de 126uba- machtiging die inmiddels al deels gezwart door het OM bij de stukken is gevoegd. Deze machtiging zal in beginsel ongezwart moeten worden gevoegd, tenzij de rechter-commissaris een machtiging voor het zwarten van bepaalde delen heeft verleend. De rechtbank is het hier mee eens.

Veroordeling voor professionele sextortion

Op 28 juli 2021 heeft de rechtbank Den Haag een uitspraak gewezen in een opvallende ‘sextortion-zaak’ (ECLI:NL:RBDHA:2021:8203). De verdachte wordt veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr) die tot oogmerk had het plegen van oplichting (art. 326 Sr), afdreiging (art. 318 Sr) en gewoontewitwassen (art. 420ter Sr). Op sociale media is een groot aantal slachtoffers met gebruik van nepaccounts gelokt en vervolgens benaderd met – tegen betaling – het aanbod van een ontmoeting met een vrouw voor een seksdate of naaktfoto’s van een vrouw. De politie heeft 39 slachtoffers geïdentificeerd die ingegaan zijn op dit aanbod en/of een naaktfoto hebben gestuurd van zichzelf.

Uit de bewijsmiddelen leidt de rechtbank af dat steeds op min of meer dezelfde manier te werk werd gegaan. Een mogelijk slachtoffer (door de verdachten ook wel aangeduid als ‘clannies’) werd op internet of via sociale media met gebruikmaking van nepaccounts tegen betaling een afspraak of (naakt)foto’s aangeboden. Uit verklaringen van meerdere verdachten is duidelijk geworden dat dit bekend stond als ‘schetsen’. Na betaling bleef de afspraak of het beeldmateriaal uit. Het slachtoffer werd na betaling onder druk gezet om meer te betalen onder dreiging van openbaarmaking van de contacten tussen het slachtoffer en het betreffende account. Ook werd slachtoffers gevraagd een naaktfoto van zichzelf te sturen. Wanneer slachtoffers aan dat verzoek voldeden, werd vervolgens gedreigd de foto te verspreiden onder familie en vrienden, tenzij er zou worden betaald. (Soms bleef het overigens niet bij dreiging). Om de bedreigingen kracht bij te zetten, werden slachtoffers vaak benaderd op verschillende van hun sociale media. De slachtoffers ontvingen, om de gevraagde betalingen te kunnen verrichten, vaak opeenvolgende betaalverzoeken, al dan niet via ‘Tikkie’, vanaf rekeningen van een of meer personen. Het geld dat met deze praktijken werd verkregen, werd over verschillende rekeningen verspreid en vervolgens contant opgenomen of doorgeboekt.

Over bovenstaande feiten en omstandigheden is door de verdediging geen verweer gevoerd. De rechtbank stelt vast dat de handelingen die gepaard gingen met de hierboven beschreven werkwijze een behoorlijke mate van samenwerking en coördinatie vereisten, te weten het maken en promoten van nepaccounts, het contact leggen met en informatie verzamelen over potentiële slachtoffers, het sturen en ontvangen van foto’s, het sturen van betaalverzoeken vanaf verschillende bankrekeningen waarbij vaak gebruik werd gemaakt van dezelfde codes/afkortingen, en het opnemen van (grote) contante bedragen na al dan niet losse overboekingen. Uit de werkwijze blijkt ook van een zekere rolverdeling binnen de organisatie als afdreiger/oplichter en geldezel/bank, welke rollen de diverse leden afwisselend vervulden. Samen met de onderlinge verbanden tussen de incidenten en de verdachten, duidt dit alles naar het oordeel van de rechtbank op een samenwerkingsverband met een zekere duurzaamheid en structuur. De organisatie legde een duidelijke stelselmatigheid aan de dag gelet op de organisatiegraad van het handelen en het grote aantal slachtoffers.

De rechtbank is op basis van de bewijsmiddelen in onderlinge samenhang bezien van oordeel dat er sprake is geweest van een criminele organisatie, waarvan het oogmerk was het plegen van afdreiging, oplichting en gewoontewitwassen.

Het merendeel van de in het onderzoek geïdentificeerde slachtoffers was minderjarig ten tijde van de misdrijven. Veel van hen hebben tegenover de politie verklaard over vaak langdurige gevoelens van angst die de feiten bij hen teweeg hadden gebracht. De daders hebben de slachtoffers misleid en bedreigd en gevoelens van schaamte en angst maximaal uitgebuit om hen zoveel mogelijk geld afhandig te maken. Gebleken is dat slachtoffers uit schaamte en/of angst nauwelijks op eigen initiatief aangifte doen van dergelijke afdreigingen en oplichtingen. Dat de verdachte heeft deelgenomen aan een organisatie die zozeer gericht was op winstbejag ten koste van de slachtoffers rechtvaardigt volgens de rechtbank op zichzelf al een forse straf. Tegelijkertijd houdt de rechtbank ook rekening met de (zeer) jonge leeftijd van de verdachte (15 jaar) ten tijde van de bewezenverklaarde feiten. De rechtbank heeft bij de bepaling van de op te leggen straf ook meegewogen dat sprake is van overschrijding van de redelijke termijn, terwijl het – omvangrijke – opsporingsonderzoek naar deze ernstige verdenkingen al in januari 2020 was afgerond. De verdachte wordt voor het onvoorwaardelijke deel van zijn straf veroordeeld tot de tijd die de verdachte in voorlopige hechtenis heeft doorgebracht.

Heimelijk filmen van seksuele handelingen

Op 23 augustus 2021 heeft de rechtbank Amsterdam een 51-jarige man veroordeeld (ECLI:NL:RBAMS:2021:4470) tot 10 maanden gevangenisstraf (waarvan 4 voorwaardelijk) voor het heimelijk maken van opnamen in de slaapkamer van een woning waar hij als schoonmaker werkte. Dit vond plaats via het hacken van een router met verkregen inloggegevens van het WiFi-netwerk en het plaatsen van een IP-camera gericht op een bed. De verdachte wordt veroordeeld voor computervredebreuk, het plaatsen van afluisterapparatuur en het opzettelijk en wederrechtelijk vervaardigen van en het ter beschikking hebben van afbeeldingen van seksuele aard van de aangeefster en haar vriend.

Op grond van het dossier en de verklaring van verdachte stelt de rechtbank vast dat verdachte een camera in de kamer van aangeefster heeft geplaatst en deze heeft verbonden met het wifi-netwerk. Om toegang te krijgen tot het wifi-netwerk heeft verdachte het wifi-wachtwoord gebruikt dat hij van aangeefster had gekregen om via internet muziek te kunnen luisteren. Omdat de verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt, is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

Op de SD-kaart in de IP-camera zijn filmpjes aangetroffen waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De rechtbank overweegt dat aangeefster en haar vriend geen toestemming hebben gegeven voor het plaatsen van de camera en het filmen. Gelet op de bedoeling van verdachte met het ophangen van de camera acht de rechtbank de verklaring van verdachte dat het niet zijn bedoeling was om filmpjes op te slaan niet aannemelijk. Hierbij speelt tevens mee dat verdachte een grote hoeveelheid filmpjes heeft opgeslagen op verschillende gegevensdragers en hij ter terechtzitting heeft verklaard geïnteresseerd te zijn in “voyeur”-filmpjes van internet en dat hij deze vaak opslaat. Op grond van het voorgaande acht de rechtbank dan ook bewezen dat verdachte opzettelijk en wederrechtelijk videobeelden heeft vervaardigd waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De verdediging heeft zich op het standpunt gesteld dat verdachte geen beschikking heeft gehad over de SD-kaart in de camera, omdat die zich in de woning van aangeefster bevond. De rechtbank verwerpt dit verweer. Hoewel de camera met daarin de SD-kaart zich in de woning van aangeefster bevond, had verdachte daar – tot het moment van de ontdekking van de camera – wel degelijk beschikkingsmacht over.

Het openbaar ministerie verweet de verdachte ook dat hij grote hoeveelheid filmpjes van onbekende personen heeft gemaakt, op dezelfde manier gemaakt als de filmpjes van de aangeefster. De filmpjes zijn allemaal gemaakt met een IP-camera en hebben het bed als centraal punt in beeld. De rechtbank vindt het echter niet bewezen dat verdachte foto’s of beelden heeft opgenomen in een Bed & Breakfast en dat hij de beschikking heeft gehad over die beelden terwijl hij wist of redelijkerwijs moest vermoeden dat die beelden wederrechtelijk waren opgenomen (artikel 139h Sr). De verdachte wordt daarvan vrijgesproken, omdat niet bekend is wie de personen zijn die zijn gefilmd, of het filmen zonder hun toestemming heeft plaatsgevonden (er zijn geen aangiftes gedaan) en waar de beelden zijn opgenomen. Ook is niet komen vast te staan dat verdachte degene is die een camera heeft opgehangen en de betreffende personen heeft gefilmd. Al met al bevindt zich in het dossier te weinig informatie over deze beelden om tot een bewezenverklaring van het ten laste gelegde te komen. De rechtbank kan op basis van het dossier niet vaststellen dat de beelden wederrechtelijk zijn vervaardigd.

De verdachte wordt veroordeeld voor en de vergoeding van 190 euro materiële en 1000 euro immateriële schade.

Veroordeling voor ontwikkelen van betaalomgeving voor phishing

Op 2 juli 2021 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2021:6521) voor voorbereidingshandelingen gericht op het plegen van computervredebreuk. De verdachte heeft een niet van echt te onderscheiden betaalomgeving ontwikkeld en deze omgeving aan andere personen verstrekt om phishing-activiteiten mogelijk te maken. Daarmee heeft de verdachte een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van computervredebreuk (art. 139d Sr jo 138ab Sr).

Slachtoffers werden gevraagd 1 cent over te maken om (zogenaamd) de betrouwbaarheid van te controleren. Hierbij werd de betaalomgeving van de verdachte gebruikt, waarheen de slachtoffers werden geleid.

De verdachte is inmiddels werkzaam in de ICT-branche en lijkt volgens de rechtbank ‘op meerdere terreinen – hij heeft werk, een vaste relatie en een kind – zijn leven in de goede richting ter hand te hebben genomen’. Ook is de redelijke termijn van de berechting van deze zaak overschreden. Een en ander brengt het hof ertoe een de verdachte te veroordelen tot een gevangenisstraf van 20 maanden, waarvan 10 maanden voorwaardelijk en een proeftijd van 3 jaar.

WhatsApp-fraude

Op 23 juli 2021 heeft de rechtbank Rotterdam een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2021:7807) voor oplichting (WhatsApp- en Tikkie-fraude), het medeplegen van computervredebreuk, verboden vuurwapenbezit en gewoontewitwassen.

De werkwijze was als volgt. De verdachten beschikten over een telefoonnummer van een WhatsApp-gebruiker. De verdachten vroegen een verificatiecode voor het account dat zij over wilde nemen. Deze code werd vervolgens door WhatsApp via sms verstuurd naar de gebruiker van dat telefoonnummer. Vervolgens stuurden de verdachten aan deze gebruiker een bericht met het verzoek om de verificatiecode door te sturen. Dit bericht werd verzonden namens iemand uit de contactenlijst van het beoogde slachtoffer, van wie zij al eerder het account hadden overgenomen. Op die manier lijkt het voor het beoogde slachtoffer alsof hij of zij het verzoek krijgt van een bekende. Na het ontvangen van de verificatiecode voerden de verdachten deze code in en kregen zij op deze manier toegang tot het WhatsApp-account van het slachtoffer. Daarna stuurden zij iedereen uit de contactenlijst van het slachtoffer een bericht met de vraag of zij geld konden lenen. Zij namen daarmee WhatsApp-accounts van willekeurige personen over en benaderden via die WhatsApp-accounts vrienden en familieleden van die personen. Het oorspronkelijke, echte, account werd geblokkeerd en de verdachten deden zich voor als de persoon van wie het WhatsApp-account was. Zij meldden aan de vrienden en familieleden van die persoon dat zij dringend financiële hulp nodig hadden. Veelgebruikte excuses daarbij waren dat het om een spoedgeval ging en dat zij even niet bij hun spaargeld konden.

Als de vrienden en familieleden bereid waren om te helpen, kregen zij van de verdachten een Tikkie-betaalverzoek toegestuurd. Als daar een bevestigend antwoord op kwam, werd een Tikkie betaalverzoek voor het genoemde bedrag gestuurd. Deze betalingen kwamen terecht op bankrekeningen van geldezels. De ontvangen bedragen werden zo snel mogelijk opgenomen bij de pinautomaat. Op die manier werden de contacten van het overgenomen WhatsApp-account opgelicht en werd veel geld verdiend.

Voor de bewijsvoering zijn betaalverzoeken na oplichting van de slachtoffers op de mobiele telefoons van de verdachte en (onder andere) het IP-adres van de woning van de verdachte op die dag op de internetbankieren-omgeving van vier van de vijf begunstigde bankrekeningnummers ingelogd. De rechtbank achtte in deze zaak de oplichting van dertien slachtoffers en tweemaal computervredebreuk bewezen. De rechtbank ging ervan uit dat dit slechts het topje van de ijsberg is geweest en dat er door de verdachte en zijn medeverdachte meer slachtoffers zijn gemaakt. Op basis van de verklaring ter zitting van de verdachte zelf, waaruit volgt dat hij 20% van het bedrag ontving dat op basis van een Tikkie betaalverzoek werd overgemaakt en dat hij in totaal €20.000,- zou hebben verdiend met de door hem gepleegde WhatsApp-fraude, hebben hij en zijn medeverdachte hun slachtoffers in ieder geval voor een totaalbedrag van €100.000,- benadeeld. Uitgaande van de gemiddelde bedragen die de slachtoffers in de ten laste gelegde feiten hebben overgemaakt, gaat het daarmee bij de oplichting alleen al om meer dan honderd slachtoffers. Naast de WhatsApp-fraude heeft de verdachte zich ook schuldig gemaakt aan het witwassen van grote contante geldbedragen van in totaal ruim €75.000,- en luxe schoenen. Tot slot heeft de verdachte op zijn slaapkamer een vuurwapen en kogelpatronen voorhanden gehad.

De minderjarige verdachte is veroordeeld voor 282 dagen jeugddetentie waarvan 180 dagen voorwaardelijk, een werkstraf van 180 uur, en een proeftijd van 2 jaar met bijzondere voorwaarden.  

Daarnaast heeft de rechtbank Overijssel op 9 augustus 2021 een verdachte veroordeeld (ECLI:NL:RBOVE:2021:3149) voor oplichting. De man maakte samen met zijn mededaders in 1,5 jaar tijd zo’n 18 slachtoffers. Het begon met oplichting via WhatsApp en Marktplaats, uiteindelijk deed hij zich zelfs voor als fraudebestrijder bij een bank. De groep koos vooral slachtoffers met een hogere leeftijd uit.

Hij ging daarbij als volgt te werk. Hij benaderde slachtoffers en won het vertrouwen door zich voor te doen als dochter van de aangeefster. Vervolgens werd haar verzocht om geld over te maken voor de aanschaf van een nieuwe telefoon en laptop. Dit geld kwam terecht op een bankrekening waarover verdachte de beschikking had. Ook heeft hij mensen via Markplaats opgelicht, door zich als potentiële koper voor te doen en ‘ter verificatie’ een phisinglink te sturen. Daardoor werden de slachtoffers overgehaald tot het afgeven van inloggegevens van hun internetbankierenaccounts, waarna er bedragen van hun bankrekeningen werden afgehaald. Om deze vorm van oplichting mogelijk te maken heeft verdachte geldezels geronseld. Daarna werd de oplichting door verdachte en diens medeverdachten nog geavanceerder, stelselmatiger en grootschaliger uitgevoerd. Verdachte belde zijn slachtoffers, die bewust werden uitgekozen vanwege hun hogere leeftijd, volgens een vaststaand script en deed zich voor als een medewerker van de fraude afdeling van de bank waar het slachtoffer bankierde. Verdachte ontfutselde zijn slachtoffers op die manier codes om te kunnen inloggen op het internetbankierenaccount van zijn slachtoffers. Verdachte en zijn medeverdachten waren dan in staat om alle aan dit account gekoppelde rekeningen te beheren. Het afgeboekte geld werd vaak meteen overgeboekt naar een tussenrekening, vermoedelijk om cryptovaluta aan te schaffen. Soms werden meerdere slachtoffers op één dag gebeld. Een enkele keer werd dertig keer door een aangeefster een bedrag afgeboekt tot een bedrag van maar liefst € 28.795,00. De verdachte heeft volgens de rechtbank eraan bijgedragen dat het vertrouwen van de vijftien veelal oudere slachtoffers op grove wijze is geschaad en heeft misbruik gemaakt van zijn slachtoffers enkel en alleen ten behoeve van zijn eigen financiële gewin. Dit soort digitale oplichtingspraktijken hebben tot gevolg dat mensen minder vertrouwen hebben in elektronisch bankieren. De rechtbank rekent dat verdachte zwaar aan.

Gezien de ernst van de gepleegde feiten en de lange periode waarin deze hebben plaatsgevonden, kan naar het oordeel van de rechtbank niet anders worden gereageerd dan met het opleggen van een onvoorwaardelijke gevangenisstraf van aanmerkelijke duur, ondanks dat verdachte deels wordt vrijgesproken van hetgeen hem ten laste is gelegd. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 3 jaar en bijzondere voorwaarden.

Cybercrime jurisprudentieoverzicht december 2020

jjoerlemans 1 reactie

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Annotatie OV-chipkaart zaak

jjoerlemans

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak (ECLI:NL:RBMNE:2020:2277). De annotatie is hier te downloaden (.pdf).

Rechtbank Midden-Nederland 17 juni 2020 m.nt. J.J. Oerlemans – OV-chipkaart zaakDownload

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.