Over het strafbaar stellen van spionage

Vorige week is een interview met mij (‘Q&A met hoogleraar Jan-Jaap Oerlemans‘) verschenen over de plannen van het kabinet om ‘spionage strafbaar te stellen’.

In het interview geef ik aan dat veel delicten al van toepassing kunnen zijn op de situatie dat een persoon gegevens verstrekt aan een ander persoon (mogelijk een inlichtingenofficier van een andere staat).

Daarbij kan je denken computerdelicten die van toepassing kunnen zijn bij het verzamelen van die gegevens, zoals computervredebreuk (art. 138ab Sr) en – met name ook – het verspreiden van niet-openbare gegevens (artikel 138c Sr). Dat laatste artikel is nog tamelijk recent ingevoerd met de inwerkingtreding van de Wet computercriminaliteit III op 1 maart 2019.

Ook kan je denken aan de huidige bepalingen met betrekking tot het openbaren van staatsgeheimen (artikel 98 Sr e.v.), ambtelijke omkoping (artikel 272 Sr) of het openbaren van bedrijfsgeheimen (artikel 273 Sr).

Gezien deze bepalingen is het belangrijk dat de minister van Justitie & Veiligheid goed uitlegt waarom de wetswijzigingen noodzakelijk zijn. Op het eerste gezicht zie ik de noodzaak niet zo, behalve dat gedacht kan worden aan hogere maximale gevangenisstraffen, omdat het dan eenvoudiger wordt bepaalde bijzondere opsporingsbevoegdheden in te zetten.

In het interview gaf ik aan dat het belangrijk is dat het openbaar ministerie in de beslissing om te vervolgen in oogmerking moet nemen of er sprake is van een klokkenluidersituatie en of het in het belang van Nederland is om vervolging in te stellen, of dat het bijvoorbeeld beter is een buitenlandse spion het land uit te zetten.

== UPDATE ==

Op 28 februari 2022 is het wetsvoorstel en de memorie van toelichting op internetconsultatie.nl verschenen (tot en met 25 april 2022 kan men reageren).

Mijn eerste indruk: in het wetsvoorstel komen enkele nieuwe strafbaarstellingen die strafbaar stellen: ‘het verrichten van handelingen voor een buitenlandse mogendheid of inlichtingen of een voorwerp te verstrekken’, als de verdachte weet dat

daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen.

De ratio van het conceptwetsvoorstel is dat ‘het strafrecht op dit moment nog onvoldoende mogelijkheden biedt om op te treden tegen spionageactiviteiten waarbij geen sprake is van een schending van (staats-, ambts- of bedrijfs-) geheimen, maar die wel de Nederlandse belangen ernstig schaden, of waarbij andere schadelijke handelingen worden verricht dan het verstrekken van informatie’. De voorgenomen wetswijzigingen zijn ook van belang om de Nederlandse strafwetgeving op een gelijkwaardig niveau te houden met de wetgeving in andere Europese landen.

Ook wordt een strafverzwaring geïntroduceerd als computerdelicten worden gepleegd met – eenvoudig gezegd – het oogmerk van spionage. Het gaat daarbij in het bijzonder om aanpassingen van het delict over het overnemen van niet-openbare gegevens (artikel 138b Sr) en het overnemen van gegevens na computervredebreuk (artikel 138ab Sr).

Ik ga het conceptwetsvoorstel uiteraard verder bestuderen, maar ik ben benieuwd wat anderen ervan vinden. Dus een mail of een comment is altijd welkom!

Cybercrime jurisprudentieoverzicht december 2021

Hoge Raad wijst nieuw arrest over computervredebreuk

De Hoge Raad heeft op 30 november 2021 een arrest (ECLI:NL:HR:2021:1691) gewezen over de begrippen ‘wederrechtelijk binnengedrongen’, ‘valse sleutel’ en ‘valse hoedanigheid’ in een tenlastelegging over computervredebreuk (art. 138ab Sr). Het ging in deze zaak om een ‘politiemol’; een verdachte die jarenlang vertrouwelijke informatie heeft opgezocht in politiesystemen en die (tegen betaling) heeft gedeeld met personen uit het criminele circuit. Daarnaast wordt hem witwassen verweten en het voorhanden hebben van valse reisdocumenten.

De verdachte had als politieambtenaar met een autorisatie toegang tot het beveiligde politiesysteem ‘Blue View’. Het systeem was beveiligd met een gebruikersnaam (zijn dienstnummer) en een wachtwoord. Het hof Amsterdam heeft reeds vastgesteld dat die autorisatie aan de verdachte was verstrekt om in het kader van zijn werk als politieambtenaar naspeuringen te verrichten, maar dat de verdachte het systeem vervolgens heeft bevraagd op gegevens over personen zonder dat daarvoor in de uitoefening van zijn politietaak enige aanleiding bestond. Op die manier kreeg de verdachte zonder daartoe bevoegd te zijn inzage in gegevens en nam hij deze gegevens over. Op grond hiervan heeft het hof geoordeeld dat de verdachte zijn autorisatie voor toegang tot het systeem Blue View heeft ‘misbruikt om informatie/gegevens over criminelen in te zien, deze informatie/gegevens over te nemen en deze informatie/gegevens ook aan deze criminelen te verstrekken’.

De Hoge Raad overweegt dat het oordeel van het hof Amsterdam dat hier ‘met behulp van een “valse sleutel” computervredebreuk’ wordt gepleegd, juist is (of zoals de HR dat formuleert: ‘geeft niet blijk van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk’). Daarbij wordt aansluiting gezocht in de wetsgeschiedenis. Zie r.o. 2.2.2:

In de Kamerstukken van het toenmalige wetsvoorstel wordt over het bestanddeel ‘valse sleutel’ weergegeven dat een password een sleutel is die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Daarbij werd aangehaald dat de Hoge Raad in zijn arrest van 20 mei 1986, ECLI:NL:HR:1986:AC9359, NJ 1987/130, heeft bepaald dat een huissleutel die wordt gebruikt tot opening van een slot door iemand die daartoe niet is gerechtigd, een valse sleutel is en dat niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen.

Onder verwijzing naar artikel 90 Sr, waarin geen definitie van het begrip ‘valse sleutels’ wordt gegeven maar enkel wordt aangegeven wat onder het begrip dient te worden begrepen (‘alle tot opening van het slot niet bestemde werktuigen’) – waarbij de wetgever heeft aangegeven dat “(O)nverschillig (is) of het werktuig al of niet een sleutel is, zoo het slechts niet die sleutel is, die voor opening van dat slot bestemd is.” (zie H.J. Smidt, Geschiedenis van het Wetboek van Strafrecht, Deel I, tweede druk, p. 544) – stelt het hof dat de jurisprudentie van de Hoge Raad verder ter zake van ‘valse sleutel’ heeft uitgemaakt dat ook onrechtmatig gebruik van bijvoorbeeld een bankpas of een tankpas kan worden aangemerkt als het gebruik maken van een ‘valse sleutel’. Anders gezegd: de Hoge Raad geeft een ruime uitleg aan het begrip ‘valse sleutels’ waarbij ook gebruik door een onbevoegde als een ‘valse sleutel’ kan worden aangemerkt (vgl. CAG Knigge in ECLI:NL:PHR:2017:1012 onder verwijzing naar HR 3 oktober 2017, ECLI:NL:HR:2017:2546).

Het oordeel van het hof Amsterdam dat de verdachte ook door het aannemen van een “valse hoedanigheid” computervredebreuk heeft gepleegd, ‘kan echter niet zonder meer uit de bewijsvoering worden afgeleid’. De door het hof in aanmerking genomen omstandigheid ‘dat de verdachte met het misbruik van zijn autorisatie het door zijn collega’s en de maatschappij in hem gestelde vertrouwen heeft geschonden’, volstaat daartoe niet. De Hoge Raad neemt daarbij in aanmerking dat niet blijkt dat de verdachte al een valse hoedanigheid had aangenomen toen hem de autorisatie werd verstrekt.

Het hof overwoog hierover destijds dat met betrekking tot het aannemen van een valse hoedanigheid dat het ‘in de kern erom gaat dat het handelen van de verdachte ertoe kan leiden dat bij de ander een onjuiste voorstelling van zaken in het leven wordt geroepen met betrekking tot de ‘persoon’ van de verdachte wat betreft diens hoedanigheid om daarvan misbruik te maken’ (met verwijzing naar HR 20 december 2016, ECLI:NL:HR:2016:2892, NJ 2017/158, m.nt. Keijzer, rov. 2.3.4).

Het slagen van de hierop gerichte klacht leidt niet tot cassatie, omdat het weglaten van dit deel van de bewezenverklaring de aard en de ernst van het bewezenverklaarde in zijn geheel beschouwd niet aantast.

Aanranding of ontucht zonder feitelijke aanraking

De rechtbank Overijssel veroordeelde (ECLI:NL:RBOVE:2021:4261) op 15 november 2021 een verdachte voor onder andere aanranding. Ook was ontucht ten laste gelegd, maar dat werd niet bewezen geacht.

De rechtbank overweegt of er voor ontucht het vereiste ‘relevante interactie’ is tussen de verdachte en het slachtoffer. De rechtbank verwijst hiervoor naar het ‘Pollepel’-arrest (HR 11 oktober 2005, ECLI:NL:HR:2005:AT972, r.o. 3.4 (JJO: gek genoeg kan ik dit arrest niet vinden op rechtspraak.nl en ik vermoed dat een foutje is gemaakt. Ik hoor graag wat wel de goede verwijzing is) van de Hoge Raad waarin – kort gezegd – bepaald dat seksuele handelingen die gepleegd zijn door een ander dan degene die de dwang heeft uitgeoefend, volgens de wetsgeschiedenis niet vallen onder de reikwijdte van artikel 242 Sr. Het dwingen van een ander tot het plegen of dulden van ontuchtige handelingen, ook als deze mede bestaan uit het seksueel binnendringen van het lichaam, levert volgens de wetsgeschiedenis feitelijke aanranding van de eerbaarheid op, als bedoeld in art. 246 Sr. Dit is ook zo als het slachtoffer wordt gedwongen bij zichzelf zulke handelingen te verrichten.

De rechtbank is van oordeel dat naast artikel 242 Sr ook artikel 245 Sr valt onder de werking van het ‘Pollepel’-arrest. Daaruit volgt dat artikel 245 Sr toepassing mist indien de verdachte het binnendringen niet zelf heeft gepleegd, zoals in de onderhavige casus. De verdachte kan daarom ook niet worden verweten dat hij zich heeft schuldig gemaakt aan het ten laste gelegde seksueel binnendringen van het lichaam van een persoon tussen de 12 en de 16 jaar.

Wel is sprake van aanranding. Daar kan ook sprake van zijn indien geen lichamelijke aanraking heeft plaatsgevonden tussen verdachte en slachtoffer (met verwijzing naar HR 22 maart 2011, ECLI:NL:HR:2011:BP1379). Daartoe is wel vereist dat, gelet op alle omstandigheden van het geval, tussen verdachte en slachtoffer een relevante interactie heeft plaatsgevonden. De verdachte heeft het slachtoffer niet fysiek aangeraakt, maar door bedreiging met openbaarmaking van beeldmateriaal haar gedwongen tot het verrichten van seksuele handelingen. De rechtbank is van oordeel dat daarmee sprake was van de vereiste relevante interactie tussen verdachte en het slachtoffer.  

De verdachte wordt veroordeeld tot een geheel voorwaardelijke gevangenisstraf van 6 maanden, met een proeftijd van drie jaar en 240 uur taakstraf.

Vergelijkbaar is de uitspraak van Midden-Nederland op 30 november 2021 (ECLI:NL:RBMNE:2021:5821). Daarbij werd een verdachte veroordeeld voor ontucht met een minderjarige (jonger dan 16 jaar) en het gewoonte maken van het verspreiden, verwerven, bezitten en zich de toegang verschaffen tot kinderpornografisch materiaal.

De rechtbank acht bewezen dat (ook) ontuchtige handelingen via de webcam zijn uitgevoerd. Anders dan de raadsman is de rechtbank van oordeel dat in de chatgesprekken tussen verdachte en het slachtoffer sprake is van relevante interactie, hetgeen vereist is voor een bewezenverklaring van ontuchtige handelingen zonder lichamelijk contact. Uit de inhoud van de chatgesprekken en uit de verklaring van verdachte volgt dat sprake is van actie en reactie in de gesprekken, waarbij het initiatief voor het seksuele contact via de webcam van verdachte uitgaat, hetgeen vervolgens leidt tot de ontuchtige handelingen zoals die zijn beschreven in de tenlastelegging.

Heimelijk forensische kopie van telefoon gemaakt

Een uitspraak van de rechtbank Midden-Nederland van 12 oktober 2021 (ECLI:NL:RBMNE:2021:4932) is het vermelden waard vanwege opvallende overwegingen omtrent de rechtmatigheid van een onderzoek aan een smartphone. De verdachte wordt in deze zaak veroordeeld voor een voorwaardelijke gevangenisstraf voor deelname aan criminele organisatie, het medeplegen van dealen van cocaïne en het voorhanden hebben van drugs.

De verdediging stelt in deze zaak dat de heimelijke inbeslagname van de twee telefoons (en het heimelijk maken van een forensische kopie daarvan) onrechtmatig heeft plaatsgevonden, omdat er geen machtiging van de rechter-commissaris is afgegeven voor deze handeling. Daarnaast zouden telefoons niet op deze manier, zonder kennisgeving, op basis van art. 94 Sv in beslag genomen hadden mogen worden.

De rechtbank overweegt in par. 4.3 dat de verdachte verband met een vernieling is aangehouden. Tijdens zijn insluiting heeft de politie twee telefoons kort in beslag genomen en van één van die telefoons is een forensische kopie gemaakt. De verdachte is hierover niet in kennis gesteld.

De rechtbank overweegt dat deze handelswijze niet bij wet is voorzien. Er is in strijd gehandeld met art. 94 Sv, omdat de verdachte is niet van de inbeslagname op de hoogte gebracht. In tegenstelling tot wat de officier van justitie heeft betoogd, biedt ook art. 126g Sv geen grondslag voor deze heimelijke inbeslagname. Het stelselmatig volgen of waarnemen van een persoon is iets wezenlijks anders dan het kopiëren van de inhoud van een telefoon.

Toch overweegt de rechtbank dan geen sprake is van een ‘ernstige privacy-schending’, omdat het een ‘dealertelefoon’ is geweest die weinig sociale contacten bevatte en daarnaast was de inbreuk op het eigendomsrecht van de verdachte ‘zeer beperkt’, omdat de verdachte na vrijlating weer beschikking kreeg over de telefoon.

De rechtbank komt tot de vaststelling dat er sprake is geweest van twee vormverzuimen in het voorbereidend onderzoek jegens verdachte, te weten de heimelijke inbeslagname van de telefoons en het verstrekken van de historische verkeersgegevens. Op basis van voornoemde beoordeling van de vormverzuimen – wat betreft de aard en de ernst van het verzuim en het nadeel van verdachte – komt de rechtbank tot de conclusie dat het nadeel dat verdachte daarmee heeft geleden zeer beperkt is gebleven en door de verdediging weinig specifiek is onderbouwd. De rechtbank volstaat daarom met de constatering dat er sprake is van vormverzuimen heeft plaatsgevonden en verbindt hier geen verdere gevolgen aan.

Veroordeling voor QR-code fraude

Op 21 oktober 2021 veroordeelde (ECLI:NL:RBAMS:2021:6000) de rechtbank Amsterdam een verdachte voor oplichting en het aanwezig hebben van harddrugs. De feiten over oplichting en overwegingen omtrent de vraag of een internetbankieren-applicatie een geautomatiseerd werk is, zijn interessant.

De verdachte pleegde ‘QR-fraude’ gebruik van de ING internetbankieren-app. De fraudeur vroeg het slachtoffer om een overboeking via de telefoon en vraagt dan om de telefoon om zijn rekeningnummer in te voeren. Ondertussen scant hij dan een QR-code en neemt de bankrekening-app over. Op de telefoon waar de rekening wordt gehouden, komt een bevestiging binnen die gebruikt moet worden op de telefoon met de QR-code. De fraudeur heeft dus de QR-code aangevraagd. Op het moment dat de fraudeur met de QR-code en de bevestigingscode de rekening heeft overgenomen, heeft de fraudeur de beschikking over de rekening

Voor computervredebreuk wordt de verdachte vrijgesproken, omdat in de tenlastelegging de internetbankieren-applicatie als geautomatiseerd werk werd aangemerkt in de zin van artikel 80sexies Sr. Dat kan niet, omdat het bij gaat om ‘fysieke apparaten’, aldus de rechtbank. De rechtbank wijst erop dat servers als zijnde een geautomatiseerd werk niet in de tenlastelegging worden genoemd. De rechtbank acht ook niet bewezen dat verdachte bankgegevens/een QR-code heeft gestolen, omdat uit het dossier niet blijkt dat deze buiten het bereik van de rechthebbende zijn gebracht. De officier van justitie kan uit deze uitspraak aldus de nodige lessen trekken bij het formuleren van een tenlastelegging bij QR-code fraude.  

Geheimhouding details EncroChat-operatie

In een uitspraak van 11 oktober 2021 (ECLI:NL:RBROT:2021:10412) gaat de rechtbank Rotterdam nader in op de redenen waarom geheimhouding van bepaalde details van de EncroChat-operatie noodzakelijk is. De beslissing op een vordering ex 149b Sv strekt tot onthouding van gegevens betreffende het interceptiemiddel en onthouding van (identificerende) gegevens betreffende zaaksofficieren van justitie en verdachten en getuigen.

Op grond van art. 187d lid 1 sub b Sv moet worden overwogen of het achterwege laten van toevoegen van de zwartgelakte stukken noodzakelijk is vanwege een “zwaarwegend opsporingsbelang”. Hoe het binnendringen in de telefoontoestellen van EncroChat-gebruikers precies is gebeurt wordt in die stukken niet prijsgegeven. De rechters-commissarissen stellen vast dat de weggelakte passages, zoals vermeld door de officieren van justitie, zien op de aard en werking van het ingezette interceptiemiddel.

Naar het oordeel van de rechters-commissarissen kan de onthulling daarvan verstrekkende gevolgen hebben voor lopende en toekomstige onderzoeken die afhankelijk zijn van een succesvolle inzet van (een) soortgelijk(e) interceptiemiddel(en). Kennisneming van deze werkwijze(n) door de verdachte(n) of door derden maakt immers dat zij daarop kunnen anticiperen en dat de informatiegaring, onderzoeksvoorbereiding en opsporingsmogelijkheden aan effectiviteit zullen inboeten of niet langer mogelijk zullen zijn. Gelet daarop wordt het onthouden van die passages aan de processtukken noodzakelijk geacht. Nu het weglaten uitsluitend de technische aspecten van de gebruikte opsporingsmethodiek betreft, is de verdediging met het achterwege laten van het voegen van die betreffende specifieke informatie volgens de rechtbank niet op enigerlei wijze in zijn belang geschaad.

Ook stellen de rechters-commissarissen stellen vast dat de passages die in de bovengenoemde stukken door de officieren van justitie zijn zwartgelakt, zien op (identificerende) gegevens van de betrokken zaaksofficieren van justitie alsmede van verdachten en getuigen uit andere onderzoeken. Het bekend worden van de namen van de officieren van justitie levert een potentieel veiligheidsrisico voor hen op waarvan zij ernstige overlast kunnen ondervinden en waardoor zij in de uitoefening van hun ambt ernstig kunnen worden belemmerd.

Cybercrime jurisprudentieoverzicht november 2021

Ontoegankelijkheidsmaking Telegram-kanaal

Op 8 oktober 2021 heeft een rechter-commissaris van de rechtbank Den Haag een beschikking gewezen over het ontoegankelijk maken van een Telegram-kanaal. De beslissing kreeg veel media-aandacht (zie bijvoorbeeld dit bericht en dit bericht) (niet altijd juridisch juist overigens door een onduidelijk persbericht, zie ook de blogs van Ius Mentis).

De rechter-commissaris wijst het verzoek op grond van art. 181 jo 125p Sv toe en verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in drie Telegram-groepen ontoegankelijk te maken. Onder meer de verdachte is eigenaar en beheerder van deze Telegram-groepen. Volgens de rechter-commissaris is aannemelijk geworden dat, vanwege de in de vordering beschreven omstandigheden, de aanbieder niet meewerkt aan een vordering.

Het ‘ontoegankelijkheidsmakingsbevel’ in artikel 125p Sv is met de Wet computercriminaliteit III gewijzigd. Het idee is volgens de memorie van toelichting wel dat het bevel pas wordt ingezet als de elektronische communicatiedienstverlener geen opvolging geeft aan een verzoek op vrijwillige basis actie te ondernemen (Kamerstukken II 2015/16, 34372, nr. 3, p. 57). De rechter-commissaris overweegt dat in het artikel staat dat een aanbieder van een communicatiedienst maatregelen moet nemen om die gegevens ontoegankelijk te maken, terwijl deze vordering ertoe strekt dat een opsporingsambtenaar dat doet. Toch acht de rechter-commissaris dat verschil niet wezenlijk en gaat hij of zij tot een ‘analoge toepassing’ van artikel 126p Sv over, zodat tot de beëindiging en voorkoming van ernstige strafbare feiten kan worden overgegaan.

Hier gaat het om Telegramkanalen waarbij een persoon in verband wordt gebracht met satanisch-pedofiele misdrijven. De verdachte is veroordeeld alle gedane uitlatingen binnen 48 uur te verwijderen en verwijderd te houden. In de Telegram-groep worden echter vergelijkbare berichten en video’s verspreid. Het voortzetten van de strafbare feiten acht de rechter-commissaris in strijd met de openbare orde. De vordering strekt ertoe dat dat wordt voorkomen. Wel erg kort overweegt de rechter-commissaris dat ‘naar het oordeel van de rechter-commissaris is daarmee aan de eisen van proportionaliteit en subsidiariteit voldaan’.

Hof Den Haag legt meer beperkingen op bij doorzoeken smartphones

In een arrest (ECLI:NL:GHDHA:2021:1873) van 26 augustus 2021 over grootschalige oplichting via Markplaats en computervredebreuk, verfijnt het Hof Den Haag het Smartphone-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584).

Indien het onderzoek van de gegevens op een digitale gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, dan dient de rechter-commissaris – die de inbeslaggenomen gegevensdragers voor onderzoek overdraagt aan een opsporingsdienst – te bepalen of er beperkingen aan dat onderzoek moeten worden verbonden.

“Bij die beslissing en bij het bepalen van aard en omvang van die eventuele beperkingen zullen factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft een rol kunnen spelen. Daarbij kan onder meer worden gedacht aan beperkingen betreffende het aantal te onderzoeken gegevensdragers, beperkingen betreffende de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag et cetera) en beperkingen betreffende de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende digitale-gegevensdrager terecht zijn gekomen. Ook kan worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek.”

In het onderhavige geval heeft een dergelijke toetsing niet kenbaar plaatsgevonden. In de eerste fase is op 24 februari 2016 hoofdzakelijk een aantal Skype-gesprekken onderzocht, maar deze waren niet gericht op de verdachte, waardoor niet onrechtmatig is gehandeld jegens hem. In de tweede fase zijn op 13 april 2016 de hiervoor weergegeven digitale gegevensdragers onderzocht louter ter vaststelling van de identiteit van de gebruiker daarvan. Bij gebreke van andere mogelijkheden voor die vaststelling dan het onderzoeken van een beperkt aantal gegevens op de verschillende digitale gegevensdragers had de rechter-commissaris hiervoor toestemming mogen geven, zodat het hof dit onderzoek niet onrechtmatig acht. Nadien zijn alle gegevensdragers uitvoerig onderzocht. Gegeven de zeer forse omvang van de strafbare feiten waarop het tegen de verdachte ingestelde onderzoek betrekking had en de vrijwel uitsluitend digitale aard van die strafbare feiten en daarmee ook van de mogelijke aanwijzingen van betrokkenheid van de verdachte daarbij, had de rechter-commissaris ook hiervoor toestemming mogen geven, zodat het hof ook dit onderzoek niet onrechtmatig acht.

Ten aanzien van de inbeslaggenomen BTC 0,549 gelast het hof de teruggave aan verdachte. Het hof stelt vast dat dit geldbedrag is aangetroffen in een ‘wallet’ op een Asus laptop. De vraag die de verdediging aan het hof voorlegt is welke waarderingsgrondslag dient te worden gehanteerd om de tegenwaarde van de bitcoins in euro’s te berekenen. Tot een dergelijke waardebepaling is de rechter niet bevoegd. Bij arrest van heden in de zaak van een medeverdachte heeft het hof de teruggave van de Asus laptop aan verdachte gelast. Wanneer de last tot teruggave betrekking heeft op een voorwerp dat reeds is vervreemd – en aldus teruggave daarvan feitelijk niet meer mogelijk is –, dan is art. 119, lid 2, Sv ingevolge art. 353, lid 3, Sv van overeenkomstige toepassing. De omstandigheid dat art. 119, leden 1 en 2, Sv van overeenkomstige toepassing is, brengt mee dat de last tot teruggave is gericht tot de bewaarder van het voorwerp. In geval het voorwerp tegen baat is vervreemd, zal de bewaarder vervolgens overgaan tot uitbetaling van de verkregen opbrengst.

De verdachte wordt in hoger beroep veroordeeld voor 21 maanden gevangenisstraf.

Oprichter Ennetcom B.V. veroordeeld

De rechtbank Rotterdam heeft op 21 september 2021 een oprichter van Ennetcom B.V. veroordeeld (ECLI:NL:RBROT:2021:9085) voor deelname aan een criminele organisatie, gewoontewitwassen, medeplegen van valsheid in geschrift en verboden munitie- en wapenbezit. Daarbij heeft de bestuurder een flinke gevangenisstraf opgelegd gekregen van 54 maanden. De uitspraak is interessant en relevant, omdat het veel verweren van de verdediging bevat die ook in toekomstige EncroChat- en SkyECC-zaken gaan spelen. Het voert te ver in dit bericht op alle verweren in te gaan. Daarom worden de nieuwe en interessante verweren uitgelicht. Zie ook dit nieuwsbericht in het Parool over de zaak.

De verdediging heeft haar stelling dat het Openbaar Ministerie de data slechts heeft gekopieerd om inzage te verkrijgen in alle inhoudelijke communicatie van gebruikers van telefoons en daarmee sprake is van misbruik van bevoegdheden ‘detournement de pouvoir’ volgens de rechtbank niet voldoende onderbouwt. De rechtbank is daarom van oordeel dat de dataset niet door middel van machtsmisbruik of in strijd met fundamentele rechtsbeginselen is verkregen. Het opsporingsonderzoek richtte zich volgens het Openbaar Ministerie op de verdachte rechtspersoon en op de rol van de medeverdachte. Teneinde die strafrechtelijke hypothese te onderzoeken, is het onderzoek gericht op de geldstromen en de digitale infrastructuur van de entiteiten; de servers daaronder begrepen. Voor de verdenking en vervolging van witwassen is het immers van belang dat komt vast te staan dat (een groot deel van) de klanten van de verdachte in de criminaliteit actief zijn en dat dus de omzet van de verdachte direct of indirect afkomstig is uit (enig) misdrijf. Daar komt volgens de rechtbank bij dat de door de verdediging gestelde schending van grondrechten van onbekende derden en het gegeven dat de communicatie van de medeverdachte in andere onderzoeken terecht is gekomen, geen van alle schending opleveren van enig concreet belang van de verdachte rechtspersoon in deze zaak.

De verdediging heeft aangevoerd dat artikel 125i Sv onvoldoende grondslag biedt voor de verkrijging van de data. Het doel van de inzet was immers de verkrijging van onder meer inhoudelijke communicatie tussen de gebruikers en hun contacten. De rechtbank overweegt dat artikel 125la Sv voorschrijft dat in de vast te leggen gegevens die worden aangetroffen bij een doorzoeking op grond van artikel 125i Sv en vergt bovendien een machtiging van de rechter-commissaris. Deze voorwaarden bieden, analoog aan het briefgeheim, extra bescherming aan de verzenders en ontvangers van berichten, die ervan uit mogen gaan dat hun berichten tijdens het ‘transport’ niet zomaar mogen worden gelezen. De rechtbank acht ook artikel 125la Sv van toepassing. Bij het aantreffen van de e-mails mocht de politie dus slechts kennisnemen van de inhoud daarvan voor zover deze klaarblijkelijk van de verdachte rechtspersoon afkomstig waren, voor hem bestemd waren, op hem betrekking hebben of tot het begaan van het strafbare feit hebben gediend, ofwel klaarblijkelijk met betrekking tot die gegevens het strafbare feit is gepleegd. Bovendien was een machtiging van een rechter-commissaris noodzakelijk voorafgaand aan kennisname van de inhoud van de berichten. Het staat vast dat de officier van justitie een dergelijke machtiging niet heeft gevraagd. De rechtbank volstaat met de constatering dat dat sprake is van een vormverzuim, mede omdat de verdachte rechtspersoon niet in haar verdedigingsbelangen geschaad, anders dan dat belastende berichten en notities in het dossier zijn gebruikt.

Het verweer dat de verdediging niet in de gelegenheid is gesteld om de data-analyse inhoudelijk te controleren, verwerpt de rechtbank, omdat de verdediging meer dan eens keren is uitgenodigd om specifiek te benoemen welke data men wenste in te zien, dan wel onder toezicht toegang tot de volledige data te krijgen. De rechtbank onderkent dat het verkrijgen en onderzoeken van dergelijke grote datasets een bedreiging kan vormen van het recht op gelijke proceskansen. De rechtbank is het ook eens met de verdediging dat zij in het kader van het recht op een eerlijk proces (en dus gelijke proceskansen) moet kunnen controleren of de door Hansken geproduceerde resultaten betrouwbaar zijn. Daartoe mag van de verdediging echter wel worden verwacht dat zij concreet maakt op welke punten deze controle – al dan niet door een deskundige – moet plaatsvinden en dat heeft de verdediging nagelaten.

Veroordeling voor GGD-datadiefstal

Op 14 september 2021 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2021:4419) voor computervredebreuk, vanwege het binnendringen in het CoronIT-systeem, het overnemen van de gegevens van 98 personen en vervolgens tegen betaling beschikbaar stellen van die gegevens via Snapchat, Instagram, Facebook en Telegram. Het CoronIT-systeem is ontwikkeld voor de GGD ten behoeve van het maken van testafspraken, het uitvoeren van bron- en contactonderzoek omtrent Covid-19 besmettingen en het inplannen van afspraken voor vaccinaties. Via Telegram, Snapchat en Whatsapp heeft de verdachte ook gegevens gedeeld met derden. De verdachte heeft hiervoor €50,- aan Bitcoin ontvangen. De verdachte wordt door de rechters veroordeeld tot een gevangenisstraf van 10 maanden, waarvan 5 maanden voorwaardelijk met een proeftijd van 2 jaar.

Zeer interessant is de overweging omtrent computervredebreuk. De verdachte had uit hoofde van zijn werk voor de GGD rechtmatig toegang tot het CoronIT-systeem, en vrije toegang tot de personeelsgegevens. Daarom is het de vraag of sprake is van wederrechtelijk binnendringen in een geautomatiseerd werk. De rechtbank overweegt dat met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht aansluiting is gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor delen van het geautomatiseerde werk wordt overschreden, kan een sleutel, door het onbevoegd gebruik maken daarvan, een valse sleutel worden. Aan de verdachte was deze toegang tot het CoronIT-systeem verschaft om, uitsluitend in het kader van de uitoefening van zijn werk enkel en alleen de gegevens in te zien van de personen met wie hij via de test- en vaccinatielijn contact had. De verdachte heeft een cursus gevolgd waarin werd uitgelegd hoe hij moest omgaan met persoonsgegevens en heeft een geheimhoudingsverklaring getekend. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien. Hieruit volgt volgens de rechtbank dat de verdachte weliswaar was geautoriseerd, maar onbevoegd ter zake van de gegevens van de personen die hij op eigen initiatief heeft opgezocht, zich opzettelijk en wederrechtelijk de toegang heeft verschaft tot het CoronIT-systeem. De verdachte wist dat hij zich in een beveiligd systeem bevond en heeft doelbewust de beveiliging van dat systeem doorbroken, met een ander doel dan het uitvoeren van zijn werkzaamheden. Daarmee is opzettelijk en wederrechtelijk een geautomatiseerd werk binnengedrongen met behulp van een valse sleutel. Dat betekent dan ook dat verdachte zich schuldig heeft gemaakt aan computervredebreuk, zoals omschreven in artikel 138ab Sr.

Voor de onderbouwing van dit standpunt verwijst de rechtbank naar het arrest van het Hof Den Bosch 4 mei 2020, ECLI:NL:GHSHE:2020:1514 en de conclusie van AG Spronken bij de Hoge Raad van 31 augustus 2021, ECLI:NL:PHR:2021:777. De Advocaat-Generaal toont in rechtsoverweging 5.30 de zelfreflectie dat

“de reikwijdte van het wederrechtelijk binnendringen zoals strafbaar gesteld in art. 138ab lid 1 Sr potentieel erg groot wordt. Immers een werknemer die uit nieuwsgierigheid grasduint in de voor hem met wachtwoord toegankelijke systemen zal dat (op basis van interne regels) al snel onbevoegd kunnen doen, omdat dit niet altijd (strikt) noodzakelijk is voor de functie-uitoefening. Ook indien de gegevens alleen worden bekeken en niet overgenomen zal reeds sprake zijn van het overtreden van het bepaalde in art. 138ab lid 1 Sr (het binnendringen).”

Zoals subsidiair ook ten laste is gelegd kon mogelijk ook het opzettelijk en wederrechtelijk overnemen van niet-openbare gegevens uit een geautomatiseerd werk (artikel 138c Sr) worden bewezen. Deze bepaling is ook bedoeld voor gevallen waarin de dader rechtmatige toegang heeft tot de gegevens, maar deze wederrechtelijk overneemt (Kamerstukken II 2015/16, 34372, nr. 3, p. 64). Voor dit een artikel staat een lagere gevangenisstraf dan voor computervredebreuk. Als de gegevens vervolgens ter beschikking worden gesteld (via WhatsApp) bijvoorbeeld zou overigens ook sprake kunnen zijn van het delict ‘heling van gegevens’ (139g Sr), maar dat is in deze zaak niet ten laste gelegd.

Veroordeling grooming virtuele minderjarige

De rechtbank Gelderland veroordeelde op 13 september 2021 een 62-jarige verdachte voor grooming van een virtueel meisje van 14 jaar (ECLI:NL:RBGEL:2021:4859). Hij krijgt een gevangenisstraf van 4 maanden opgelegd met een proeftijd van drie jaar en een werkstraf van 200 uur. Sinds de Wet computercriminaliteit III is ook het grooming van een virtuele creatie van een persoon die de leeftijd van zestien jaren nog niet heeft bereikt strafbaar.

Een getuige heeft verklaard dat ze lid was geworden van de groep ‘Pedofiel ontmaskerd.nl’ en daarom een account heeft gemaakt op Chatplaza (in dat kader vond ik dit nieuwsbericht over dat ‘pedohunten’ nu minder voorkomt interessant). Een van de personen die op het bericht reageerde en verder vroeg, was de verdachte. De verdachte vroeg haar om verder te praten op ‘KIKplaza.’ Via KIK heeft ze verdachte zeker drie keer verteld dat ze 14 jaar was en verdachte vertelde dat hij 51 of 61 jaar was. Eerst gingen de gesprekken over school en dagelijkse dingen, maar al snel vroeg hij naar dominantie en sprak hij over vastbinden. Hij wilde een afspraak maken in het bos om te zoenen, knuffelen en strelen. Die afspraak kwam tot stand doordat verdachte zei dat ze elkaar moesten zien. Zij had naar hem gemaild dat dat kon omdat haar moeder niet thuis zou zijn. Aan de hand daarvan hebben ze afgesproken. Dat was op 27 november 2020 in Apeldoorn.

Anders dan de raadsman is de rechtbank van oordeel dat bewezen kan worden verklaard dat de verdachte een ontmoeting met een virtueel persoon heeft voorgesteld. Dit volgt naar het oordeel van de rechtbank uit de hiervoor aangehaalde berichten, waarin de verdachte meermalen vraagt naar en zinspeelt op een daadwerkelijke ontmoeting en zo steeds de gelegenheid creëert om een ontmoeting te laten plaatsvinden. Uit de expliciet seksuele inhoud van het chatverkeer tussen verdachte en de virtuele persoon dat voorafging aan deze afspraak, trekt de rechtbank verder de conclusie dat verdachte deze afspraak heeft gemaakt met het oogmerk om seksuele of ontuchtige handelingen met het virtuele meisje te plegen. Dat, zoals verdachte ter zitting heeft verklaard, hij alleen met haar wilde gaan wandelen, vindt de rechtbank gelet op de inhoud van de berichten niet geloofwaardig.

Cybercrime jurisprudentieoverzicht september 2021

Veroordeling op basis van bewijs uit Sky ECC

Op 19 augustus 2021 heeft de rechtbank Amsterdam een van de eerste verdachten veroordeeld (ECLI:NL:RBAMS:2021:4320) (mede) op basis van de berichten die zijn veilig gesteld van de ‘cryptochat-app’ ‘Sky ECC’. In een operatie van Belgische, Franse en Nederlandse opsporingsinstanties in maart 2021 zijn honderden miljoenen berichten van ongeveer 70.000 Sky ECC-gebruikers onderschept. Deze berichten worden onderzocht op strafbare feiten, waarna opsporingsonderzoeken worden opgestart. Volgens Europol waren veel personen naar Sky ECC overgestapt na de EncroChat operatie in 2020. Wereldwijd maakten 170.000 personen gebruik van de tool, waarbij 3 miljoen berichten per dag tussen gebruikers werden verstuurd. Ongeveer 20 procent van de klanten komen volgens Europol uit België en Nederland. De servers van de elektronische communicatiedienst stonden in de Europese Unie.

In het onderzoek ‘26Chesham’ staat de uitvoer van cocaïne centraal. Het opsporingsonderzoek 26Chesham is gestart naar aanleiding van informatie afkomstig uit het onderzoek ‘26Argus’. 26Argus betreft het onderzoek naar een berichtenapp Sky ECC. Het bedrijf installeerde versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. Het berichtenverkeer liep via servers in Frankrijk en Canada. De rechtbank overweegt verder dat de CEO en werknemers van Sky Global in de Verenigde Staten zijn aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties. In het onderzoek 26Argus worden chats van de gebruikers van deze software en cryptotelefoons op basis van vooraf door de rechters-commissaris in dat onderzoek goedgekeurde trefwoorden onderzocht.

De verdediging voert aan dat sprake is van vormverzuimen, omdat de officier van justitie heeft nagelaten tijdig de essentiële stukken te overleggen die nodig zijn om te kunnen toetsen of het gebruik van informatie uit het onderzoek 26Argus rechtmatig is geweest. Op deze wijze wordt de verdediging ervan weerhouden de verdediging effectief uit te kunnen voeren, waardoor de rechten van verdachte worden geschonden. De rechtbank overweegt dat – omdat verdachte zelf heeft verklaard dat hij niet actief gebruik heeft gemaakt van zijn Sky ECC-telefoon en dat hij daarop geen berichten heeft gezien – ‘het de rechtbank niet duidelijk wat het vermeende vormverzuim voor nadelige gevolgen voor de verdachte heeft gehad’. De verweren slagen daarom niet.

De rechtbank neemt de aanwezigheid van ‘encrypted telefoons’ bij alle vier de verdachten in aanmerking. Volgens de rechtbank is ‘het is een feit van algemene bekendheid dat criminelen met zulke telefoons over de uitvoering van strafbare feiten communiceren, omdat de daarmee verzonden versleutelde berichten moeilijk te onderscheppen zijn’. Gebleken is dat ‘aan de Sky-id van [naam 1] op 8 maart 2021 een bericht is gestuurd met het adres waar hij vlak daarna door [verdachte] is opgehaald en naar de loods is gebracht’. Dat ook over het transport is gecommuniceerd met encrypted telefoons blijkt ‘uit het bericht dat op de Sky ECC-telefoon van [naam 1] is aangetroffen, betreffende het adres waar hij op 8 maart [verdachte] zou ontmoeten’.

De rechtbank acht bewezen het medeplegen van een poging tot uitvoer van 125 kilogram cocaïne op 8 maart 2021 te Cruquius alsmede het medeplegen van het opzettelijk aanwezig hebben van die cocaïne op diezelfde dag bewezen. De verdachte in deze zaak krijgt een gevangenisstraf opgelegd van 5 jaar. 

Beslissing inzake inzet bevoegdheden EncroChat

Ik heb mijn cybercrime jurisprudentieoverzicht al meerdere keren strafzaken besproken (zie hier, hier en hier) die voortvloeien uit de EncroChat-operatie, waarbij miljoenen berichten zijn verzameld en geanalyseerd door politie en justitie. Uit deze operatie komen nog steeds strafzaken uit voort, waarvan in deze rubriek er één wordt uitgelicht, omdat het een nieuwe ontwikkeling betreft.

De rechtbank Den Haag besliste op 25 augustus 2021 over onderzoekwensen in verband met EncroChat (ECLI:NL:RBDHA:2021:9368). Het meest relevante onderdeel van de beslissing is het onderdeel over de verstrekking van (ook onderliggende gegevens) bij de machtiging van de rechter-commissaris voor het gebruik van EncroChat-gegevens voor strafzaken.

De verdediging voert aan dat de officier van justitie inmiddels de machtiging van de rechter-commissaris d.d. 27 maart 2020 bij de stukken heeft gevoegd, voorzien van een begeleidende brief van het OM d.d. 7 juli 2021. De voeging heeft plaatsgevonden op grond van de volgende overweging die door diverse rechtbanken (in vrijwel gelijkluidende zin) is gebruikt:

Het feit dat de rechter-commissaris diverse voorwaarden heeft gesteld aan het gebruik van de dataset 26Lemont voor andere opsporingsonderzoeken, doet vermoeden dat de rechter-commissaris belangen van de gebruikers heeft afgewogen tegen de relevante opsporingsbelangen en daarbij aan de vereisten van subsidiariteit en proportionaliteit heeft getoetst. De rechtbank kan dit op basis van de nu verkregen stukken echter niet nagaan. Zowel de verdediging als de rechtbank beschikt slechts over het dictum van de 126uba-machtiging en niet over de inhoudelijke afwegingen van de rechter-commissaris om tot verlening van de machtiging over te gaan. De rechtbank wil op dit punt nader worden geïnformeerd.

De rechtbanken willen dus vooral geïnformeerd worden over de afweging die de rechter-commissaris bij het opstellen van de voorwaarden voor het gebruik van de dataset heeft gemaakt met betrekking tot de belangen van de gebruikers en welke toets hij ten aanzien van de subsidiariteit en proportionaliteit heeft aangelegd.

De verdediging heeft echter nog een ander punt naar voren gebracht, namelijk het gebruik van de bevoegdheid van artikel 126uba Sv. De rechter-commissaris constateert dat de machtiging niet alle door de verdediging opgeworpen vragen lijkt te beantwoorden. De (deels gezwarte) machtiging bevat bijvoorbeeld niet (expliciet/zichtbaar) alle onderdelen van het bevel, zoals is voorgeschreven in artikel 126uba lid 3 juncto 126nba lid 4 Sv. In de machtiging wordt wel verwezen naar de vordering (p. 5: “machtigt (…) overeenkomstig de vordering”), processen-verbaal van de politie en een brief van de officier van justitie, maar deze stukken zijn niet gevoegd. Naar het oordeel van de rechter-commissaris moet de verdediging in de gelegenheid worden gesteld een rechtmatigheidstoets uit te voeren naar het gebruik/de verwerking van deze data met het oog op een eventueel verweer daaromtrent. Daarvoor kan niet worden volstaan met de machtiging, ook de andere daaraan gerelateerde stukken – zoals de vordering, de onderliggende processen-verbaal, de genoemde brief en het/de op de machtiging gevolgde bevel(en) (verzoek 1) – zullen moeten worden verstrekt. Datzelfde geldt voor de verlengingen (verzoek 2).

De rechter-commissaris ziet onder ogen dat het voegen van al deze stukken (in hun geheel) gevoelig ligt. Zo staat in de begeleidende brief bij het verstrekken van de machtiging beschreven dat het respecteren van het staatsgeheim van Frankrijk meebrengt dat door de zaaksofficieren van 26Lemont is besloten om de passages in de beschikking die op dat deel betrekking hebben, zwart te maken.

De rechter-commissaris is van oordeel dat de afweging welke stukken (en welke delen daaruit) wel en niet gevoegd kunnen worden, niet (uitsluitend) bij het OM moet liggen. De rechter- commissaris verwijst daarvoor naar artikel 149b Sv: als de officier van justitie vanwege belangen als vermeld in artikel 187d lid 1 Sv, zoals een zwaarwegend opsporingsbelang, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege wil laten, behoeft hij daartoe een schriftelijke machtiging van de rechter-commissaris.

Gelet op het voorgaande zal de rechter-commissaris beslissen dat de verzoeken 1 en 2 zullen worden toegewezen en dat de betreffende 126uba-machtiging en de daaraan gerelateerde stukken in beginsel volledig en ongezwart bij de processtukken dienen te worden gevoegd. Wel staat daarbij de weg van artikel 149b Sv open. De rechter-commissaris kan op vordering van de officier van justitie een machtiging verlenen om bepaalde stukken niet te voegen of onderdelen daaruit te ‘zwarten’. Anders dan de rechtbank kan de rechter-commissaris wel kennisnemen van de volledige inhoud van de stukken. Voor de goede orde merkt de rechter-commissaris op dat deze beslissing ook geldt voor de 126uba- machtiging die inmiddels al deels gezwart door het OM bij de stukken is gevoegd. Deze machtiging zal in beginsel ongezwart moeten worden gevoegd, tenzij de rechter-commissaris een machtiging voor het zwarten van bepaalde delen heeft verleend. De rechtbank is het hier mee eens.

Veroordeling voor professionele sextortion

Op 28 juli 2021 heeft de rechtbank Den Haag een uitspraak gewezen in een opvallende ‘sextortion-zaak’ (ECLI:NL:RBDHA:2021:8203). De verdachte wordt veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr) die tot oogmerk had het plegen van oplichting (art. 326 Sr), afdreiging (art. 318 Sr) en gewoontewitwassen (art. 420ter Sr). Op sociale media is een groot aantal slachtoffers met gebruik van nepaccounts gelokt en vervolgens benaderd met – tegen betaling – het aanbod van een ontmoeting met een vrouw voor een seksdate of naaktfoto’s van een vrouw. De politie heeft 39 slachtoffers geïdentificeerd die ingegaan zijn op dit aanbod en/of een naaktfoto hebben gestuurd van zichzelf.

Uit de bewijsmiddelen leidt de rechtbank af dat steeds op min of meer dezelfde manier te werk werd gegaan. Een mogelijk slachtoffer (door de verdachten ook wel aangeduid als ‘clannies’) werd op internet of via sociale media met gebruikmaking van nepaccounts tegen betaling een afspraak of (naakt)foto’s aangeboden. Uit verklaringen van meerdere verdachten is duidelijk geworden dat dit bekend stond als ‘schetsen’. Na betaling bleef de afspraak of het beeldmateriaal uit. Het slachtoffer werd na betaling onder druk gezet om meer te betalen onder dreiging van openbaarmaking van de contacten tussen het slachtoffer en het betreffende account. Ook werd slachtoffers gevraagd een naaktfoto van zichzelf te sturen. Wanneer slachtoffers aan dat verzoek voldeden, werd vervolgens gedreigd de foto te verspreiden onder familie en vrienden, tenzij er zou worden betaald. (Soms bleef het overigens niet bij dreiging). Om de bedreigingen kracht bij te zetten, werden slachtoffers vaak benaderd op verschillende van hun sociale media. De slachtoffers ontvingen, om de gevraagde betalingen te kunnen verrichten, vaak opeenvolgende betaalverzoeken, al dan niet via ‘Tikkie’, vanaf rekeningen van een of meer personen. Het geld dat met deze praktijken werd verkregen, werd over verschillende rekeningen verspreid en vervolgens contant opgenomen of doorgeboekt.

Over bovenstaande feiten en omstandigheden is door de verdediging geen verweer gevoerd. De rechtbank stelt vast dat de handelingen die gepaard gingen met de hierboven beschreven werkwijze een behoorlijke mate van samenwerking en coördinatie vereisten, te weten het maken en promoten van nepaccounts, het contact leggen met en informatie verzamelen over potentiële slachtoffers, het sturen en ontvangen van foto’s, het sturen van betaalverzoeken vanaf verschillende bankrekeningen waarbij vaak gebruik werd gemaakt van dezelfde codes/afkortingen, en het opnemen van (grote) contante bedragen na al dan niet losse overboekingen. Uit de werkwijze blijkt ook van een zekere rolverdeling binnen de organisatie als afdreiger/oplichter en geldezel/bank, welke rollen de diverse leden afwisselend vervulden. Samen met de onderlinge verbanden tussen de incidenten en de verdachten, duidt dit alles naar het oordeel van de rechtbank op een samenwerkingsverband met een zekere duurzaamheid en structuur. De organisatie legde een duidelijke stelselmatigheid aan de dag gelet op de organisatiegraad van het handelen en het grote aantal slachtoffers.

De rechtbank is op basis van de bewijsmiddelen in onderlinge samenhang bezien van oordeel dat er sprake is geweest van een criminele organisatie, waarvan het oogmerk was het plegen van afdreiging, oplichting en gewoontewitwassen.

Het merendeel van de in het onderzoek geïdentificeerde slachtoffers was minderjarig ten tijde van de misdrijven. Veel van hen hebben tegenover de politie verklaard over vaak langdurige gevoelens van angst die de feiten bij hen teweeg hadden gebracht. De daders hebben de slachtoffers misleid en bedreigd en gevoelens van schaamte en angst maximaal uitgebuit om hen zoveel mogelijk geld afhandig te maken. Gebleken is dat slachtoffers uit schaamte en/of angst nauwelijks op eigen initiatief aangifte doen van dergelijke afdreigingen en oplichtingen. Dat de verdachte heeft deelgenomen aan een organisatie die zozeer gericht was op winstbejag ten koste van de slachtoffers rechtvaardigt volgens de rechtbank op zichzelf al een forse straf. Tegelijkertijd houdt de rechtbank ook rekening met de (zeer) jonge leeftijd van de verdachte (15 jaar) ten tijde van de bewezenverklaarde feiten. De rechtbank heeft bij de bepaling van de op te leggen straf ook meegewogen dat sprake is van overschrijding van de redelijke termijn, terwijl het – omvangrijke – opsporingsonderzoek naar deze ernstige verdenkingen al in januari 2020 was afgerond. De verdachte wordt voor het onvoorwaardelijke deel van zijn straf veroordeeld tot de tijd die de verdachte in voorlopige hechtenis heeft doorgebracht.

Heimelijk filmen van seksuele handelingen

Op 23 augustus 2021 heeft de rechtbank Amsterdam een 51-jarige man veroordeeld (ECLI:NL:RBAMS:2021:4470) tot 10 maanden gevangenisstraf (waarvan 4 voorwaardelijk) voor het heimelijk maken van opnamen in de slaapkamer van een woning waar hij als schoonmaker werkte. Dit vond plaats via het hacken van een router met verkregen inloggegevens van het WiFi-netwerk en het plaatsen van een IP-camera gericht op een bed. De verdachte wordt veroordeeld voor computervredebreuk, het plaatsen van afluisterapparatuur en het opzettelijk en wederrechtelijk vervaardigen van en het ter beschikking hebben van afbeeldingen van seksuele aard van de aangeefster en haar vriend.

Op grond van het dossier en de verklaring van verdachte stelt de rechtbank vast dat verdachte een camera in de kamer van aangeefster heeft geplaatst en deze heeft verbonden met het wifi-netwerk. Om toegang te krijgen tot het wifi-netwerk heeft verdachte het wifi-wachtwoord gebruikt dat hij van aangeefster had gekregen om via internet muziek te kunnen luisteren. Omdat de verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt, is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

Op de SD-kaart in de IP-camera zijn filmpjes aangetroffen waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De rechtbank overweegt dat aangeefster en haar vriend geen toestemming hebben gegeven voor het plaatsen van de camera en het filmen. Gelet op de bedoeling van verdachte met het ophangen van de camera acht de rechtbank de verklaring van verdachte dat het niet zijn bedoeling was om filmpjes op te slaan niet aannemelijk. Hierbij speelt tevens mee dat verdachte een grote hoeveelheid filmpjes heeft opgeslagen op verschillende gegevensdragers en hij ter terechtzitting heeft verklaard geïnteresseerd te zijn in “voyeur”-filmpjes van internet en dat hij deze vaak opslaat. Op grond van het voorgaande acht de rechtbank dan ook bewezen dat verdachte opzettelijk en wederrechtelijk videobeelden heeft vervaardigd waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De verdediging heeft zich op het standpunt gesteld dat verdachte geen beschikking heeft gehad over de SD-kaart in de camera, omdat die zich in de woning van aangeefster bevond. De rechtbank verwerpt dit verweer. Hoewel de camera met daarin de SD-kaart zich in de woning van aangeefster bevond, had verdachte daar – tot het moment van de ontdekking van de camera – wel degelijk beschikkingsmacht over.

Het openbaar ministerie verweet de verdachte ook dat hij grote hoeveelheid filmpjes van onbekende personen heeft gemaakt, op dezelfde manier gemaakt als de filmpjes van de aangeefster. De filmpjes zijn allemaal gemaakt met een IP-camera en hebben het bed als centraal punt in beeld. De rechtbank vindt het echter niet bewezen dat verdachte foto’s of beelden heeft opgenomen in een Bed & Breakfast en dat hij de beschikking heeft gehad over die beelden terwijl hij wist of redelijkerwijs moest vermoeden dat die beelden wederrechtelijk waren opgenomen (artikel 139h Sr). De verdachte wordt daarvan vrijgesproken, omdat niet bekend is wie de personen zijn die zijn gefilmd, of het filmen zonder hun toestemming heeft plaatsgevonden (er zijn geen aangiftes gedaan) en waar de beelden zijn opgenomen. Ook is niet komen vast te staan dat verdachte degene is die een camera heeft opgehangen en de betreffende personen heeft gefilmd. Al met al bevindt zich in het dossier te weinig informatie over deze beelden om tot een bewezenverklaring van het ten laste gelegde te komen. De rechtbank kan op basis van het dossier niet vaststellen dat de beelden wederrechtelijk zijn vervaardigd.

De verdachte wordt veroordeeld voor en de vergoeding van 190 euro materiële en 1000 euro immateriële schade.

Veroordeling voor ontwikkelen van betaalomgeving voor phishing

Op 2 juli 2021 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2021:6521) voor voorbereidingshandelingen gericht op het plegen van computervredebreuk. De verdachte heeft een niet van echt te onderscheiden betaalomgeving ontwikkeld en deze omgeving aan andere personen verstrekt om phishing-activiteiten mogelijk te maken. Daarmee heeft de verdachte een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van computervredebreuk (art. 139d Sr jo 138ab Sr).

Slachtoffers werden gevraagd 1 cent over te maken om (zogenaamd) de betrouwbaarheid van te controleren. Hierbij werd de betaalomgeving van de verdachte gebruikt, waarheen de slachtoffers werden geleid.

De verdachte is inmiddels werkzaam in de ICT-branche en lijkt volgens de rechtbank ‘op meerdere terreinen – hij heeft werk, een vaste relatie en een kind – zijn leven in de goede richting ter hand te hebben genomen’. Ook is de redelijke termijn van de berechting van deze zaak overschreden. Een en ander brengt het hof ertoe een de verdachte te veroordelen tot een gevangenisstraf van 20 maanden, waarvan 10 maanden voorwaardelijk en een proeftijd van 3 jaar.

WhatsApp-fraude

Op 23 juli 2021 heeft de rechtbank Rotterdam een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2021:7807) voor oplichting (WhatsApp- en Tikkie-fraude), het medeplegen van computervredebreuk, verboden vuurwapenbezit en gewoontewitwassen.

De werkwijze was als volgt. De verdachten beschikten over een telefoonnummer van een WhatsApp-gebruiker. De verdachten vroegen een verificatiecode voor het account dat zij over wilde nemen. Deze code werd vervolgens door WhatsApp via sms verstuurd naar de gebruiker van dat telefoonnummer. Vervolgens stuurden de verdachten aan deze gebruiker een bericht met het verzoek om de verificatiecode door te sturen. Dit bericht werd verzonden namens iemand uit de contactenlijst van het beoogde slachtoffer, van wie zij al eerder het account hadden overgenomen. Op die manier lijkt het voor het beoogde slachtoffer alsof hij of zij het verzoek krijgt van een bekende. Na het ontvangen van de verificatiecode voerden de verdachten deze code in en kregen zij op deze manier toegang tot het WhatsApp-account van het slachtoffer. Daarna stuurden zij iedereen uit de contactenlijst van het slachtoffer een bericht met de vraag of zij geld konden lenen. Zij namen daarmee WhatsApp-accounts van willekeurige personen over en benaderden via die WhatsApp-accounts vrienden en familieleden van die personen. Het oorspronkelijke, echte, account werd geblokkeerd en de verdachten deden zich voor als de persoon van wie het WhatsApp-account was. Zij meldden aan de vrienden en familieleden van die persoon dat zij dringend financiële hulp nodig hadden. Veelgebruikte excuses daarbij waren dat het om een spoedgeval ging en dat zij even niet bij hun spaargeld konden.

Als de vrienden en familieleden bereid waren om te helpen, kregen zij van de verdachten een Tikkie-betaalverzoek toegestuurd. Als daar een bevestigend antwoord op kwam, werd een Tikkie betaalverzoek voor het genoemde bedrag gestuurd. Deze betalingen kwamen terecht op bankrekeningen van geldezels. De ontvangen bedragen werden zo snel mogelijk opgenomen bij de pinautomaat. Op die manier werden de contacten van het overgenomen WhatsApp-account opgelicht en werd veel geld verdiend.

Voor de bewijsvoering zijn betaalverzoeken na oplichting van de slachtoffers op de mobiele telefoons van de verdachte en (onder andere) het IP-adres van de woning van de verdachte op die dag op de internetbankieren-omgeving van vier van de vijf begunstigde bankrekeningnummers ingelogd. De rechtbank achtte in deze zaak de oplichting van dertien slachtoffers en tweemaal computervredebreuk bewezen. De rechtbank ging ervan uit dat dit slechts het topje van de ijsberg is geweest en dat er door de verdachte en zijn medeverdachte meer slachtoffers zijn gemaakt. Op basis van de verklaring ter zitting van de verdachte zelf, waaruit volgt dat hij 20% van het bedrag ontving dat op basis van een Tikkie betaalverzoek werd overgemaakt en dat hij in totaal €20.000,- zou hebben verdiend met de door hem gepleegde WhatsApp-fraude, hebben hij en zijn medeverdachte hun slachtoffers in ieder geval voor een totaalbedrag van €100.000,- benadeeld. Uitgaande van de gemiddelde bedragen die de slachtoffers in de ten laste gelegde feiten hebben overgemaakt, gaat het daarmee bij de oplichting alleen al om meer dan honderd slachtoffers. Naast de WhatsApp-fraude heeft de verdachte zich ook schuldig gemaakt aan het witwassen van grote contante geldbedragen van in totaal ruim €75.000,- en luxe schoenen. Tot slot heeft de verdachte op zijn slaapkamer een vuurwapen en kogelpatronen voorhanden gehad.

De minderjarige verdachte is veroordeeld voor 282 dagen jeugddetentie waarvan 180 dagen voorwaardelijk, een werkstraf van 180 uur, en een proeftijd van 2 jaar met bijzondere voorwaarden.  

Daarnaast heeft de rechtbank Overijssel op 9 augustus 2021 een verdachte veroordeeld (ECLI:NL:RBOVE:2021:3149) voor oplichting. De man maakte samen met zijn mededaders in 1,5 jaar tijd zo’n 18 slachtoffers. Het begon met oplichting via WhatsApp en Marktplaats, uiteindelijk deed hij zich zelfs voor als fraudebestrijder bij een bank. De groep koos vooral slachtoffers met een hogere leeftijd uit.

Hij ging daarbij als volgt te werk. Hij benaderde slachtoffers en won het vertrouwen door zich voor te doen als dochter van de aangeefster. Vervolgens werd haar verzocht om geld over te maken voor de aanschaf van een nieuwe telefoon en laptop. Dit geld kwam terecht op een bankrekening waarover verdachte de beschikking had. Ook heeft hij mensen via Markplaats opgelicht, door zich als potentiële koper voor te doen en ‘ter verificatie’ een phisinglink te sturen. Daardoor werden de slachtoffers overgehaald tot het afgeven van inloggegevens van hun internetbankierenaccounts, waarna er bedragen van hun bankrekeningen werden afgehaald. Om deze vorm van oplichting mogelijk te maken heeft verdachte geldezels geronseld. Daarna werd de oplichting door verdachte en diens medeverdachten nog geavanceerder, stelselmatiger en grootschaliger uitgevoerd. Verdachte belde zijn slachtoffers, die bewust werden uitgekozen vanwege hun hogere leeftijd, volgens een vaststaand script en deed zich voor als een medewerker van de fraude afdeling van de bank waar het slachtoffer bankierde. Verdachte ontfutselde zijn slachtoffers op die manier codes om te kunnen inloggen op het internetbankierenaccount van zijn slachtoffers. Verdachte en zijn medeverdachten waren dan in staat om alle aan dit account gekoppelde rekeningen te beheren. Het afgeboekte geld werd vaak meteen overgeboekt naar een tussenrekening, vermoedelijk om cryptovaluta aan te schaffen. Soms werden meerdere slachtoffers op één dag gebeld. Een enkele keer werd dertig keer door een aangeefster een bedrag afgeboekt tot een bedrag van maar liefst € 28.795,00. De verdachte heeft volgens de rechtbank eraan bijgedragen dat het vertrouwen van de vijftien veelal oudere slachtoffers op grove wijze is geschaad en heeft misbruik gemaakt van zijn slachtoffers enkel en alleen ten behoeve van zijn eigen financiële gewin. Dit soort digitale oplichtingspraktijken hebben tot gevolg dat mensen minder vertrouwen hebben in elektronisch bankieren. De rechtbank rekent dat verdachte zwaar aan.

Gezien de ernst van de gepleegde feiten en de lange periode waarin deze hebben plaatsgevonden, kan naar het oordeel van de rechtbank niet anders worden gereageerd dan met het opleggen van een onvoorwaardelijke gevangenisstraf van aanmerkelijke duur, ondanks dat verdachte deels wordt vrijgesproken van hetgeen hem ten laste is gelegd. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 3 jaar en bijzondere voorwaarden.

Cybercrime jurisprudentieoverzicht december 2020

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak (ECLI:NL:RBMNE:2020:2277). De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.  

Cybercrime jurisprudentieoverzicht oktober 2020

Op 25 augustus 2020 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2020:1559) gewezen over voorhanden hebben van een technisch hulpmiddel (‘Razorscanner’), waarmee computermisdrijven als computervredebreuk kunnen worden gepleegd (artikel 139d lid 2 sub a jo art. 138ab Sr).

Op 5 april 2016 is de website van Razorscanner na een gecoördineerde politieactie via Europol offline gehaald. Zes verdachten, waaronder de maker van Razorscanner, werden gearresteerd. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Om Razorscanner te kunnen gebruiken kochten de gebruikers van de website “coins”. Daarmee kon de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kon de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeerde dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten werden doorgegeven. Het programma ‘Razorcrypter’ maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-virusprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen, zo overweegt het Hof.  

Deze zaak gaat over een Nederlandse verdachte die ten laste werd gelegd de software ‘Razorscanner’ en ‘Razorcrypter’ voorhanden te hebben met het oogmerk computermisdrijven te plegen. Hij beschikte over een account bij de aanbieder daarvan en over voldoende coins om de services te gebruiken. Het Hof Den Haag stelt in een uitgebreide overweging vast dat de services Razorscanner en Razorcrypter op zichzelf genomen geen programma’s zijn die zelfstandig geschikt gemaakt of ontworpen zijn om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Toch wordt de software aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, met name omdat de programma’s cybercriminelen in staat stellen met meer succes computermisdrijven te plegen (“strafbaar is ook degene die zo’n computerprogramma koopt of verkoopt, is strafbaar indien die koop of verkoop plaatsvindt met het oogmerk dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd” (memorie van antwoord Wet computercriminaliteit II)).

Voor de strafbaarstelling is daarnaast vereist dat met het voorhanden hebben van het technisch hulpmiddel het oogmerk bestaat computermisdrijven zoals computervredebreuk te plegen. Het hof spreekt de verdachte vrij, omdat niet vastgesteld kon worden dat de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen. Het Hof overweegt dat het bewijsmateriaal eerder steun geeft aan de verklaring van verdachte, dat hij zowel Razorscanner en Virustotal gebruikte om scans uit te voeren aan bestanden. Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan. Het hof komt daarmee tot de conclusie dat er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht en spreekt hem daarom vrij.

Bestellen onder valse personalia geen computervredebreuk

De rechtbank Rotterdam heeft op 18 september 2020 een verdachte veroordeeld (ECLI:NL:RBROT:2020:8248) tot 180 dagen gevangenisstraf, waarvan 103 dagen voorwaardelijk en een taakstraf van 100 uur. De verdachte heeft samen met een medeverdachte VodafoneZiggo modems besteld, deze aangesloten en daarmee naar betaalde servicenummer gebeld.

De verdachte werd computervredebreuk ten laste gelegd, omdat zou zijn binnendrongen in de kabelmodems. De rechtbank spreekt de verdachte daarvan vrij, omdat niet op andere wijze toegang is verkregen en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. De rechtbank overweegt helaas niet waarom geen sprake is van het opzettelijk en wederrechtelijk onder een valse hoedanigheid of met valse sleutels binnendringen in de servers van de VodafoneZiggo, omdat daar mogelijk wel sprake van is en ook ten laste is gelegd. Zie ook de blog van Arnoud Engelfriet over deze zaak.

De verdachte wordt wel veroordeeld voor oplichting, waarbij de verdachte met de verkregen telefoonabonnementen aankopen heeft gedaan bij 090-nummers. Het betrof onder andere (bitcoin)vouchers en bel- en goktegoeden, die vervolgens werden omgezet naar (giraal) geld (o.a. via Skrill). In het huis van de verdachte en in een door haar partner gehuurde garagebox werden maar liefst 1161 modems aangetroffen. De gevorderde schadevergoeding van €575.489,61 (!) wordt niet-ontvankelijk verklaard, omdat ‘een volmacht of uittreksel van de Kamer van Koophandel ontbreekt’ waaruit kon blijken dat de persoon gemachtigd was door VodafoneZiggo voor het indienen van de vordering. Eventueel kan daarover wel nog een civielrechtelijke zaak worden aangespannen.

Veroordeling voor grootschalige phishing

Op 26 augustus 2020 heeft de rechtbank Midden-Nederland een aantal verdachten veroordeeld (ECLI:NL:RBMNE:2020:3467) voor grootschalige phishing. In deze zaak is de verdachte veroordeeld voor oplichting, verboden wapenbezit, het voorhanden hebben van software om computervredebreuk te plegen, computervredebreuk, (gewoonte)witwassen en diefstal. In totaal zijn 22 slachtoffers van de Rabobank, ING, ABN Amro en de Van Lanschot Bank benadeeld voor 170.000 euro. De slachtoffers kregen phishinglinks doorgestuurd per e-mail en sms. Daarbij werden slachtoffers doorgestuurd naar phishingwebsites. Daarna werd de ‘Mobiel Bankieren App’ geïnstalleerd op een telefoon die niet van aangevers was, waarna geldbedragen werden gepind of overgeboekt.

Uit de bewijsmiddelen is het IP-adres van de dader te linken aan het gelogde IP-adres bij transacties van slachtoffers. Het gaat daarbij onder andere om een te linken IP-adres in de iPhone van de verdachte en een chatbericht dat is gevonden op de laptop van de verdachte, waarin staat dat het desbetreffende IP-adres aan de verdachte toebehoord. Op de laptop van verdachte zijn verder verschillende afbeeldingen aangetroffen die zijn gemaakt met behulp van Gyazo, een screenshotprogramma. Eén van deze afbeeldingen toont een beheerpaneel van de domeinnaam mobielbevestigen.ml. De rechtbank leidt hieruit af dat verdachte deze website, door middel waarvan de gegevens van de aangevers zijn gephisht, kon beheren. Veelzeggend is verder het bewijs op de laptop bankrekeningnummers, pasnummers en adresgegeven van enkele van de aangevers.

In de onderhavige zaak verzorgde de verdachte voornamelijk het technische deel, d.w.z. het inrichten, hosten en beheren van websites, maar wordt ook veroordeeld voor het medeplegen van de andere strafbare feiten. De bijdrage van de verdachte was een noodzakelijke schakel – het phishing-deel – in het geheel aan handelingen waarmee de slachtoffers werden opgelicht. De verdachte krijgt een flinke gevangenisstraf opgelegd van vier jaar, waarvan één jaar voorwaardelijk.

Cybercrime jurisprudentieoverzicht augustus 2020

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar. 

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

“Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”

– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”

– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Cybercrime jurisprudentieoverzicht – juli 2019

Posted on 13/07/2019 op oerlemansblog

Hoge Raad over scans en computervredebreuk

De Hoge Raad heeft op 9 april 2019 een arrest gewezen over het vereiste van ‘binnendringen’ in ene geautomatiseerd werk (HR 9 april 2019, ECLI:NL:HR:2019:560). In het arrest maakt de Hoge Raad duidelijk dat het enkele gebruik van een scan-programma om kwetsbaarheden op een website te onderzoeken niet voldoende bewijs is om te spreken van ‘binnendringen’ in een deel van een geautomatiseerd werk. Er werd ook geen bewijs geleverd dat een geslaagde aanval door verdacht had plaatsgevonden, maar slechts dat het ‘niet ondenkbaar’ is geweest. Het arrest is niet verrassend of bijzonder interessant en daarom heb ik het geen uitgebreide bespreking gegeven.

Over ‘sivven’, ‘lebben’, ‘mapsen’, ‘nippen’ en ‘spa’

De rechtbank Zeeland-West-Brabant heeft op 17 mei 2019 verschillende verdachten veroordeeld (ECLI:NL:RBZWB:2019:2195) voor de grootschalige verspreiding van phishingmails uit naam van een bank (Rb. Zeeland-West-Brabant 17 mei 2019, ECLI:NL:RBZWB:2019:2195). Daarbij zijn gevangenisstraffen tot en met vijf jaar opgelegd voor het medeplegen van oplichting, computervredebreuk, diefstal en witwassen, allen meermalen gepleegd, deelname aan een criminele organisatie en valsheid in geschrifte. Het onderzoek heeft zich alleen gericht op klanten van één bank. De door de bank geschatte totale schade, veroorzaakt door verdachte en haar mededaders, wordt geschat op meer dan een miljoen euro. De uitspraak is lezenswaardig vanwege de feiten en overwegingen omtrent het digitale bewijs.

De verdachten uit het onderzoek ‘Vari/Willis’ gingen als volgt te werk. Uit naam van een bank werden spam e-mails naar slachtoffers verstuurd. In de mail werden slachtoffers opgeroepen een nieuwe pinpas aan te vragen. Dit proces duurde langzamer dan normaal. De slachtoffers werden gevraagd hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in te voeren. Die gegevens werden door de website automatisch doorgezonden naar de medeverdachte, waarmee een nieuwe mobiele telefoonnummer werd geregistreerd voor de Bankieren-app. Als  de slachtoffers vastliepen op de nepwebsite, belde de verdachte uit naam van de bank en leidde hen door het proces. Na het aanvragen van een nieuwe pinpas, werd de pinpas uit de brievenbus van het slachtoffer gevist. Daarna werd de rekening van het slachtoffer, met gebruikmaking van money mules, leeggehaald.

Het digitale bewijs is indrukwekkend, omdat verbindingen worden gemaakt met de gebruikersnamen van verschillende inbeslaggenomen telefoons (incl. back-ups van de telefoons op computers, gegevens uit een Skype-applicaties en gebruikersnamen en berichten uit Whatsappgroepen) en vorderingen bij onder andere ‘payment service providers’. De inhoud van de berichten met woorden als ‘sivven’, ‘lebben’, ‘mapsen’, ‘nippen’, en over een ‘nip’ en een ‘spa’ hebben als bewijs gediend, omdat volgens de rechtbank in het licht van dossier duidelijk is dat slechts sprake is van het ‘achterstevoren spellen van de woorden’ en ‘vissen’, ‘bellen’, ‘spammen’, ‘pinnen’, een ‘pincode’ en ‘pinpas’. Daarbij komt nog bij dat, waar er op de phishing website gevraagd wordt om een pasnummer en pincode in te voeren, deze gegevens worden doorgestuurd met “spanr’ en ‘nip’. Ook is interessant dat één van de verdachten is getraceerd door onderzoek aan de headergegevens in de e-mail die was verzonden. Daaruit kon het IP-adres van een ‘VPS server’ worden afgeleid. Van deze dienstverlener zijn klaarblijkelijk gebruikersgegevens zijn gevorderd. Ook is onder andere bewezen dat de verdachte phishingmails vanaf een server heeft verstuurd en op die server de phishing e-mails en phishingwebsites zijn gevonden.

Uit de uitspraak blijkt dat de opsporingsautoriteiten de telefoon van de verdachte lieten overgaan ten tijde van de aanhouding, zodat deze ‘open’ was. Hier is op aanvraag van de verdediging een proces-verbaal van opgemaakt. De rechtbank bindt geen consequenties aan dit vormverzuim en acht de doorzoeking op grond van 110 Sv voldoende voor het onderzoek aan de gegevensdragers, omdat de gegevensdragers alleen in beslag zijn genomen, waarna de gegevens op de gegevensdrager zijn onderzocht.

Veroordeling voor hacken en publiceren naaktfoto’s, maar geen smaadschrift

De rechtbank Amsterdam heeft op 12 februari 2019 een verdachte veroordeeld (ECLI:NL:RBAMS:2019:2124) voor computervredebreuk (Rb. Amsterdam 12 februari 2019, ECLI:NL:RBAMS:2019:2124). De verdachte heeft de computers van drie vrouwelijke slachtoffers van een studentenhuis binnengedrongen. De verdachte heeft een gevangenisstraf opgelegd gekregen van 60 dagen, waarvan 32 dagen voorwaardelijk en een proeftijd van twee jaar.

De verdachte heeft gebruik gemaakt van de computers na van één hen toestemming te hebben verkregen. De verdachte is daarbij echter verder gegaan dan tot waar de toestemming zich uitstrekte door foto’s van die computers af te halen en verder te gebruiken. De verdachte heeft op die manier computervredebreuk gepleegd met betrekking tot die computers.

De verdachte heeft vervolgens beeldmateriaal gekopieerd door middel van een USB-stick en het downloaden van foto’s van het social media-account. Vervolgens is het beeldmateriaal gekopieerd en zijn daarbij afbeeldingen gemanipuleerd. Daarvoor is gegevensmanipulatie (art. 350a Sr) ten laste gelegd. Hoewel de naam van het delict misschien passend lijkt is hier volgens de rechtbank geen sprake van. De verdachte heeft kopieën van de gegevens verwerkt, waarbij dus de originele gegevens zijn intact gebleven. Hierdoor niet wordt voldaan aan de delictsomschrijving. De verdachte wordt aldus vrijgesproken van dit ten laste gelegde feit.

Het bewerkte beeldmateriaal is daarna terecht gekomen op verschillende pornografische websites, waardoor het lijkt alsof aangeefsters zelf op die websites staan, met alle nare gevolgen van dien voor hun privé- en werkzame leven. De verdachte krijgt ontslag van alle rechtsvervolging voor het ten laste gelegde smaadschrift, omdat de tenlastelegging niet omschrijft wat de concrete gedraging is van de verdachte. Uit deze omschrijving blijkt immers niet wat er is afgebeeld op de gemanipuleerde foto’s en/of filmpjes van aangeefsters. Daarmee is ook niet duidelijk waaruit de aanranding van de eer of goede naam heeft bestaan.