Cybercrime jurisprudentieoverzicht februari 2022

Hoge Raad wijst arrest over ddos-aanvallen

Op 24 december 2021 heeft de Hoge Raad een arrest (ECLI:NL:HR:2021:1944) gewezen over ddos-aanvallen. Het arrest gaat met name over het begrip ‘geautomatiseerd werk’ in de zin van art. 80sexies (oud) Sr in de context van het delict voor ddos-aanvallen (artikel 138b Sr).

De raadsman had in de zaak in eerste aanleg aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op een bepaalde website en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.

Het Hof overwoog dat om van ‘het belemmeren van het gebruik van een geautomatiseerd werk’ te kunnen spreken, het is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd. Uit de bewijsmiddelen volgt naar het oordeel van het hof dat de website door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode ‘uit de lucht te halen’, doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt daarop het verweer.

In het oude begrip van ‘geautomatiseerd werk’ (art. 80sexies Sr (oud)) was vereist dat het werk drie functies vervult, te weten opslag, verwerking en overdracht van gegevens. Niet alleen zelfstandige apparaten die aan deze drievoudige eis voldoen, zijn geautomatiseerde werken, maar ook netwerken, bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken (HR 26 maart 2013, ECLI:NL:HR:2013:BY9718, NJ 2013/468, m.nt. Reijntjes en HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, NJ 2012/62, m.nt. Keijzer (opmerking JJO: ter zijde: waarom verwijst de HR alleen naar een NJ met annotatie, maar niet naar anderen en niet het ECLI-nummer?). Een belemmering van de werking van een computerprogramma waarmee een of meer van die functies, kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.

Het hof heeft vastgesteld dat de verdachte via een bepaalde website zestien ddos-aanvallen heeft laten uitvoeren op een andere website, en dat de toegang tot de website ‘internetsite 2’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder r.o. 2.5 en r.o. 2.6 weergegeven wetsgeschiedenis en gelet op wat onder r.o. 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd. Om deze reden faalt het cassatiemiddel.

Opmerking JJO: mij ontgaat om eerlijk te zijn het nut van dit arrest. Het is vrij onduidelijk opgeschreven (zeker vergeleken met arresten van het Amerikaanse Hooggerechtshof). Het gedoe over het begrip geautomatiseerd werk vind ik ook wat vermoeiend. Het is toch niet zo lastig in een tenlastelegging op te schrijven waarin je opschrijft dat een ‘server’ is platgelegd in de zin van artikel 138b Sr? Uiteraard ben ik benieuwd als mensen de waarde van het arrest beter kunnen duiden :-).

== Update ==

In NJ 2022/124 legt prof. em. Reijntjes (ook in soms onduidelijk en ouderwets taalgebruik) uit dat hier het punt is dat de Hoge Raad in dit arrest door middel van een teleologische interpretatie van de wet het begrip ‘geautomatiseerd werk’ verruimt en van toepassing verklaart op websites:

“De rechtszekerheid (lex certa!) lijkt hierbij niet in het geding; voor een gewoon burger, die wist dat art. 138bis Sr specifiek tegen DDos-aanvallen gericht was, kan het niet als een verrassing zijn gekomen dat de Hoge Raad dat voorschrift dan ook werkelijk in die zin leest. Het zijn alleen de juristen, die schrikken van een teleologische interpretatie, die de letter van de wet opzij schuift.”

Het roept inderdaad wel de vraag op of dan ook kan worden volgehouden dat een ‘account’ niet als geautomatiseerd werk kwalificeert, zoals het Hof Den Haag in september 2020 nog in een arrest duidelijk maakte.

Veroordelingen voor ddos-aanvallen

In januari 2022 waren er een aantal opvallende veroordelingen voor ddos-aanvallen. De zaak van de rechtbank Den Haag (ECLI:NL:RBDHA:2022:22) liet lang op zich wachten, omdat de verdachte op 1 februari 2018 in verzekering was gesteld en pas op 22 februari 2022 eindvonnis wijst.

De verdachte heeft zich gedurende een periode van acht maanden schuldig gemaakt aan het plegen van een groot aantal DDoS-aanvallen op webservers van banken, bedrijven en overheidsinstanties. De rechtbank oordeelt dat er met de handelingen van de verdachte een gemeen gevaar voor goederen en voor de verlening van diensten te duchten was (zoals is vereist voor het delict in artikel 161sexies Sr). Zij verwijst daartoe naar het arrest van de Hoge Raad van 22 februari 2011, ECLI:NL:HR:BN9287, waarin is geoordeeld dat onder ‘gemeen gevaar’ mede wordt verstaan het gevaar voor een ongestoorde dienstverlening aan een onbestemd, doch aanmerkelijk aantal afnemers. Uit de bewijsmiddelen die zijn opgenomen in bijlage II blijkt dat er voor een (groot) aantal afnemers van diensten en goederen een verstoring is opgetreden, dan wel kon optreden tijdens de ddos-aanvallen van de verdachte.

Vanwege de forse overschrijding van de redelijk termijn krijgt de verdachte verder geen gevangenisstraf, maar een werkstraf van 200 uur. De forse vorderingen van materiele schade (oplopend tot ruim 8 ton) worden door de rechtbank niet toegewezen. Met betrekking tot de hoogte van de schade is de rechtbank met de officier van justitie en de verdediging van oordeel dat deze, mede gelet op de gemotiveerde betwisting daarvan, vooralsnog onvoldoende is onderbouwd. Nader onderzoek is noodzakelijk en dit levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op. Zij verklaart daarom de benadeelde partijen niet-ontvankelijk in de vordering. De vordering kan bij de burgerlijke rechter worden aangebracht.

De Rechtbank Den Haag veroordeelde verder op 4 januari 2022 (ECLI:NL:RBDHA:2022:22) een man van twintig voor DDoS aanvallen op mijnoverheid.nl en overheid.nl in maart 2020, als gevolg waarvan deze websites tijdelijk niet bereikbaar waren. Deze aanvallen zijn te kwalificeren als gericht tegen een geautomatiseerd werk behorende tot de vitale infrastructuur (artikel 138b Sr), waarbij ook een gemeen gevaar voor de verlening van diensten was te duchten (artikel 161sexies Sr). Ook wordt de verdachte veroordeeld voor bedreiging met de dood van politieagenten.

De raadsman had vrijspraak bepleit omdat uit het procesdossier niet blijkt dat de handelingen van de verdachte daadwerkelijk een stoornis in de gang of werking van de webserver van overheid.nl hebben veroorzaakt (feit 1) of de toegang tot en het gebruik van deze webserver hebben belemmerd (feit 2). Voor zover dit zou blijken uit het rapport van Solvinity van 26 maart 2020, dat als bijlage bij de vordering van de benadeelde partij is gevoegd, kan de rechtbank dit rapport volgens de raadsman niet gebruiken voor het bewijs. Het rapport is namelijk zeer kort voor de terechtzitting in het geding gebracht en niet geverifieerd door opsporingsambtenaren aan de hand van een ambtsedig opgemaakt proces-verbaal, aldus de verdediging.

In dit kader is het van belang op te merken dat het Hof Den Haag op 27 januari 2022 in twee arresten (ECLI:NL:GHDHA:2022:57, ECLI:NL:GHDHA:2022:58) zich heeft uitgesproken over de toelaatbaarheid van het verrichten van het voorbereid onderzoek door en in opdracht van een verzekeringsmaatschappij. De rechtbank heeft eerder de officier van justitie niet-ontvankelijk verklaard in twee zaken, omdat in deze zaken is het voorbereidend onderzoek verricht door en in opdracht van verzekeringsmaatschappijen. In dat geval vindt vervolging plaats, zonder dat van opsporing sprake is geweest. Volgens het hof wordt daarmee een fundamentele inbreuk gemaakt op het strafvorderlijk systeem, dat vereist dat vervolging plaatsvindt naar aanleiding van een opsporingsonderzoek. Opsporing gebeurt onder gezag van de officier van justitie door ambtenaren, die bij de wet zijn aangewezen (zie artikelen 132a, 141 en 167 van het wetboek van strafvordering). Deze bepalingen vormen het fundament voor een integere en onafhankelijke rechtspraak die de waarheidsvinding tot doel heeft. Door een inbreuk hierop te maken, is het wettelijk systeem in de kern geraakt, aldus het hof. Het gevolg daarvan is dat de officier van justitie in deze zaken niet ontvankelijk is verklaard. Het verdient de voorkeur als resultaten van onderzoek door een verzekeringsmaatschappij inhoudelijk worden getoetst en vervolgens worden ingebracht in het opsporingsonderzoek dat onder gezag van de officier van justitie staat, voor het dossier aan de rechter wordt aangeboden.   

In de onderhavige zaak is de rechtbank van oordeel dat het rapport van Solvinity wel degelijk kan worden gebruikt voor het bewijs. Het is een geschrift dat aan het dossier is toegevoegd en ter terechtzitting is besproken. Naar vaste rechtspraak van de Hoge Raad verzet geen rechtsregel zich in een dergelijk geval tegen het gebruik daarvan als bewijsmiddel. Geen rechtsregel gebiedt voorts dat een dergelijk rapport zou moeten worden geverifieerd door een opsporingsambtenaar. De inhoud van het rapport biedt voorts geen enkele aanleiding om de betrouwbaarheid of juistheid daarvan in twijfel te trekken.

Bij het bepalen van de straf in de ddos-zaak houdt de rechtbank onder meer rekening met de omstandigheid dat de DDoS zijn gepleegd in de beginfase van de coronapandemie, toen veel mensen behoefte hadden aan de informatie van de overheid over de verspreiding van het virus en de maatregelen ter bestrijding daarvan door de overheid. De rechtbank houdt bij de straftoemeting tevens rekening met ‘sterke aanwijzingen voor persoonlijkheidsproblematiek’, de jonge leeftijd van de verdachte, zijn houding tijdens de zitting en een blanco strafblad. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op van drie maanden, een onvoorwaardelijke taakstraf van 120 uur, een proeftijd van drie jaar, alsmede een schadevergoeding van € 9.213,75.

Veroordeling voor aankoop wapen via het darkweb van een undercoveragent

De rechtbank Noord-Nederland heeft op 17 februari 2022 een verdachte veroordeeld (ECLI:NL:RBNNE:2022:402) voor een poging tot het voorhanden krijgen van een vuurwapen op grond van de Wet wapens en munitie. De verdachte is op het darkweb op zoek gegaan naar een wapen en heeft vervolgens via Protonmail contact had gelegd met een undercoveragent (en niet met een wapenleverancier).

De bewijsoverwegingen zijn interessant om te lezen. Zo is te lezen dat de ‘blijkens door Google verstrekte gegevens’ het Gmailadres was aangemaakt middels een Sloveens IP-adres, door een gebruiker met een accountnaam van de verdachte. Het emailadres [emailadres] @gmail.com is gekoppeld aan een Skype-account met de username [verdachte] en de locatie Slov.Konjice, Slovenia. Blijkens onderzoek in politiesystemen verblijft op het adres [straatnaam] te [woonplaats], een man genaamd [verdachte], geboren op [geboortedatum] 1976 te [geboorteplaats] (voormalig Joegoslavië, nu Slovenië). De gesprekken tussen de undercoveragent en de verdachte zijn als proces-verbaal bijgevoegd en te lezen in te uitspraak. Na verloop van tijd ging de communicatie over naar protonmail en werd de prijs van 1500 euro voor een vuurwerpen van het merk Beretta, type 92 FS in het kaliber 9×19 millimeter.

De rechtbank oordeelt dat sprake is van het begin van een uitvoering, gericht op de aankoop en daarmee het voorhanden krijgen van het betreffende vuurwapen. Het feit dat de verkoop niet is doorgegaan is enkel gelegen in de omstandigheid dat de verkoper een infiltrant van de politie betrof en niet doordat verdachte de koop niet wilde doorzetten. Bovendien acht de rechtbank de verklaring van verdachte dat hij enkel nieuwsgierig was gelet op bovenstaande bewijsmiddelen, in het bijzonder de inhoud van de door hem verstuurde berichten, ongeloofwaardig.

De rechtbank overweegt dat het ongecontroleerde bezit van een vuurwapen roept een onaanvaardbaar gevaar voor de veiligheid van anderen in het leven. Het blijft de vraag wat de verdachte van plan was met het wapen, omdat hij daarover geen openheid van zaken heeft willen geven. De rechtbank rekent dit verdachte ernstig aan. De rechtbank veroordeelt verdachte tot een gevangenisstraf voor de duur van zes maanden waarvan drie maanden voorwaardelijk met een proeftijd van twee jaren. De rechtbank acht het geldbedrag van €1.500,- vatbaar voor verbeurdverklaring nu het geldbedrag aan verdachte toebehoort en het bestemd was voor het begaan van het bewezenverklaarde feit (het betrof immers het aankoopbedrag voor het wapen).

Veroordelingen voor wraakporno

Op 1 februari 2022 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2022:294) voor dwang, wraakporno en afdreiging.

De verdachte ontmoette het slachtoffer via ‘Yubo’, een soort dating app. De verdachte verspreidde een filmpje via Telegram van een meisje dat zichzelf bevredigd. Dit was niet het slachtoffer, maar de verdachte deed alsof zij dat was en verspreidde haar profiel van Instagram en Snapchat in hetzelfde kanaal, samen met (niet-naakt)foto’s die zij naar de verdachte had verstuurd. De tekst bij het bericht was: “[slachtoffer 2] uit [woonplaats], zit op school in [plaats] en hockeyt ook nog, deze vieze kk kebber ligt wekelijks met een andere boy in bed en vind dat nog leuk ook, maak de helemaal kapot deze kleine kanker hoer [telefoonnummer]”. De Telegramgroep had op dat moment 88.215 leden.

De rechtbank overweegt dat uit de verklaring van aangeefster en uit de app-gesprekken volgt dat de verdachte het slachtoffer dwong om contact met hem te houden en dreigde haar toekomst te verpesten en haar gegevens online te plaatsen als aangeefster hem niet zou deblokkeren. Het ten laste gelegde delict dwang ten opzichte van het eerste slachtoffer is daarmee wettig en overtuigend bewezen.

Ten opzichte van een tweede slachtoffer heeft de verdachte zich schuldig gemaakt aan afdreiging door haar te dwingen naaktfoto’s en -filmpjes van zichzelf aan hem te sturen, onder de bedreiging dat hij anders haar foto’s zou gaan lekken op Telegram. Het minderjarige slachtoffer heeft vervolgens onder die druk meerdere naaktfoto’s en -filmpjes van zichzelf aan verdachte gestuurd. Het openbaar maken van de video in de appgroep ziet de rechtbank als wraakporno, omdat de filmpjes van seksuele aard waarop een onbekend gebleven persoon te zien is en de daarbij geplaatste foto’s van het account van het slachtoffer, nadeel opleveren voor het tweede slachtoffer.

De verdachte wordt veroordeeld tot een jeugddetentie van 210 dagen (met aftrek van voorarrest) en een proeftijd van twee jaren. Ook krijgt de verdachte voor drie jaar een vrijheidsbeperkende maatregel (contactverbod) opgelegd.

De rechtbank Den Haag heeft op 26 januari 2022 een verdachte veroordeeld (ECLI:NL:RBDHA:2022:467) voor identiteitsfraude, belaging, ‘sextortion’ (afdreiging) en wraakporno. De verdachte heeft zich schuldig gemaakt aan identiteitsfraude door de gegevens van zijn ex-partner [slachtoffer] te misbruiken bij het afsluiten van een telefoonabonnement bij KPN, bij een bestelling van een iPhone 12 Pro en het aanmaken van een account op de website Werksters.nl. Door haar gegevens te gebruiken heeft hij haar overlast en nadeel bezorgd.

De verdachte dreigde een tweede slachtoffer dat zij toegangstickets voor Decibel aan hem moest sturen, omdat anders seksfilmpjes zouden worden verspreid. Hoewel het slachtoffer aan dit dreigement toegaf, heeft de verdachte die desbetreffende seksfilmpjes aan verscheidene vrienden van het slachtoffer gestuurd. De verdachte heeft aangevoerd dat het iemand anders moet zijn geweest die deze berichten heeft verstuurd, omdat zijn Instagram account gehackt is geweest. Deze bewering houdt naar het oordeel van de rechtbank geen stand. De rechtbank acht onaannemelijk dat een ander zich niet alleen heeft uitgegeven als de verdachte, maar ook toegang heeft gehad tot zijn telefoon, Instagramaccount en mailaccount. Dat deze persoon bovendien de beschikking heeft gehad over de betreffende seksfilmpjes die op de telefoon van verdachte stonden, acht de rechtbank volstrekt onaannemelijk.

De rechtbank overweegt ook of sprake is van belaging (zoals bedoeld in artikel 285d Sr). Bij de beoordeling van de vraag of sprake is van belaging als bedoeld in art. 285b, eerste lid, Sr zijn verschillende factoren van belang, te weten de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710; HR 4 november 2014, ECLI:NL:HR:2014:3095). Uit de verklaringen van het tweede slachtoffer blijkt duidelijk dat zij geen contact wilde met de verdachte en dat zij hem meerdere malen heeft verzocht om haar met rust te laten. Ook heeft zij hem op een bepaald moment op WhatsApp en Instagram geblokkeerd. De verdachte zelf wist ook dat zij geen contact met hem wilde, zo heeft hij bij de rechter-commissaris verklaard dat zij hem negeerde, maar dat hij toch contact bleef zoeken. De verdachte had zodoende moeten begrijpen dat hij geen contact meer moest opnemen met het slachtoffer. Het enkele feit dat slachtoffer in de tenlastegelegde periode eenmalig zelf contact heeft gezocht met de verdachte doet hier niet aan af. Het handelen van de verdachte heeft een grote impact gehad op het persoonlijk leven van slachtoffer.

De rechtbank is van oordeel dat de aard, duur, frequentie en intensiteit van de hiervoor vastgestelde gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer – naar objectieve maatstaven bezien – zodanig zijn geweest dat van een stelselmatige inbreuk op haar persoonlijke levenssfeer sprake is geweest. Deze inbreuk was bovendien wederrechtelijk.

De rechtbank acht daarmee bewezen dat de verdachte zich aan de ten laste gelegde belaging schuldig heeft gemaakt. De rechtbank legt aan de verdachte een gevangenisstraf op voor de duur van acht maanden, met als bijzondere voorwaarden een contactverbod en een locatieverbod.

Cybercrime jurisprudentieoverzicht december 2020

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Jurisprudentieoverzicht cybercrime februari 2020

Hoge Raad arrest over kaartlezers

De Hoge Raad heeft op 17 december 2019 een arrest (ECLI:NL:HR:2019:1973) gewezen over de vraag of een kaartlezer een geautomatiseerd werk (artikel 80sexies Sr) is. De zaak ging over een vorm van fraude waarbij gemanipuleerde ‘e.dentifiers’ in bankshops van een bank werden geplaatst. Daarmee werden vervolgens valse betaalpassen vervaardigd, waarmee in totaal meer dan € 1 miljoen contant is opgenomen bij pinautomaten.

De Hoge Raad overweegt herhaalt de relevante overwegingen uit ECLI:NL:HR:2013:BY9718 met betrekking tot het (oude) begrip ‘geautomatiseerd werk’ in artikel 80sexies Sr. De Hoge Raad overweegt dat de kaartlezer een geautomatiseerd werk is, omdat het een apparaat is die  authenticatie en uitwisseling van mede op rekeninggegevens en pincodes gebaseerde (challenge- en response)cijfercodes met het Internet Bankieren-systeem van de bank mogelijk maakt. Dat vindt plaats ten behoeve van digitale bancaire transacties. Zij maken daarmee deel uit van een systeem waarbij opslag, verwerking en overdracht van gegevens plaatsvindt (r.o. 3.5.3).

Oude vs nieuwe definitie geautomatiseerd werk

Het arrest gaat nog over de oude definitie van een geautomatiseerd werk. Het begrip is door de inwerkingtreding van de Wet computercriminaliteit III gewijzigd in:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken”.

Met dit nieuwe begrip wordt aangesloten uit de definitie uit het Cybercrimeverdrag. Hieronder vallen volgens de toelichting in ieder geval apparaten die gegevens verwerken en in verbinding staan met een netwerk. Gezien de verwerking van gegevens valt mijns inziens een kaartlezer ook onder dit nieuwe begrip van een geautomatiseerd werk.

Aftappen en opnemen van gegevens

Over aftappen en opnemen in de zin artikel 139c Sr overweegt de Hoge Raad dat uit de wetsgeschiedenis volgt dat de in art. 139c Sr opgenomen termen ‘aftapt’ en ‘opneemt’ zien op het onderscheppen en vastleggen van stromende gegevens, dat wil zeggen gegevens die in een proces zijn van verwerking en overdracht. Het vastleggen van opgeslagen gegevens valt niet aan te merken als aftappen of opnemen in de zin van art. 139c Sr, maar als het ‘overnemen’ van gegevens (r.o. 3.6.2).

De Hoge Raad gaat mee in het oordeel van het Hof dat sprake is van ‘afgetapte en opgenomen gegevens’, omdat actief werd ingegrepen tijdens het ‘vraag- en antwoordspel van de identificatiekaartlezer’ tijdens internetbankieren. Daarbij worden gegevens via de chip opgevraagd, die in reactie daarop worden overgedragen en via een PIN code worden onderschept (r.o. 3.6.3).

Livestream kan afbeelding zijn in de zin van art. 240b Sr

Op 10 december 2019 heeft de rechtbank West-Brabant-Zeeland een 66-jarige verdachte veroordeeld (ECLI:NL:RBZWB:2019:5546) tot drie jaar gevangenisstraf en TBS voor ontucht en de vervaardiging en verspreiding van kinderporno.

De “surrogaat opa” won het vertrouwen van een gezin droeg als oppas zorg voor een 12-jarige meisje. Met dit meisje heeft hij ontucht gepleegd en heeft hij beeldmateriaal vervaardigd. In 2000 is verdachte in Nederland ook al veroordeeld tot 30 maanden gevangenisstraf waarvan zes maanden voorwaardelijk voor soortgelijke feiten. In 2012 is verdachte in België veroordeeld tot 6 jaar gevangenisstraf voor verkrachting en aanranding van een minderjarige.

Het is een zaak met dramatische en trieste feiten, maar juridisch gezien wordt een belangrijke vraag gesteld. De verdachte heeft met zijn eigen telefoon en onder zijn eigen account een livestream van seksuele activiteiten en handelingen van het slachtoffer uitgezonden.

De rechtbank overweegt dat sprake is van een kinderpornografische ‘afbeelding’ in de in zin art. 240b Sr, omdat via een livestream mogelijk wordt gemaakt dat anderen een weergave van de werkelijke seksuele gedragingen van kinderen kunnen zien door middel van streamen en volgen. De verdediging voert aan dat geen sprake is van een afbeelding in de zin van 240 Sr, omdat geen sprake is van het vereiste van ‘enige duurzaamheid’. De rechtbank gaat daar niet in mee.

De rechtbank overweegt dat ‘een afbeelding in de zin van genoemd artikel is het weergeven van een werkelijkheid door middel van een technisch hulpmiddel waardoor deze werkelijkheid door (veel) anderen door middel van gebruik van techniek bekeken kan worden. Gelet op het doel en de strekking van genoemd artikel is ‘enige duurzaamheid’ geen vereiste om te kunnen spreken van een afbeelding in de zin van dit artikel’.

Veroordeling voor verspreiding kinderporno via GigaTribe

Op 11 december 2019 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2019:11285) tot 12 maanden gevangenisstraf voor de verspreiding van kinderporno via het peer-to-peer programma GigaTribe.

Net als in ECLI:NL:RBNNE:2017:2882 (zie ook mijn annotatie hierover) werd de zaak opgestart nadat Zwitserse autoriteiten via een undercover actie het account van een persoon hadden overgenomen en daarmee met de Nederlandse verdachte communiceerden over kinderporno. Tijdens het chatgesprek met de verdachte ontvingen de Zwitserse autoriteiten het wachtwoord van zijn versleutelde folder, waarin kinderporno bleek te staan. De Zwitserse ‘Cybercrime Coordination Unit’ deelden de informatie met de Nederlandse autoriteiten, die een onderzoek startten.

De verdediging voerde aan dat het Openbaar Ministerie niet-ontvankelijk moet worden verklaard voor het gebruik van bewijsmateriaal door de undercover acties van de Zwitserse autoriteiten.

Volgens het hof is er geen sprake van enig vormverzuim. Tijdens de doorzoeking van de woning van een verdachte is op een computer en USB-stick van de verdachte 1048 foto’s en 409 films aangetroffen met kinderpornografisch materiaal. Bovendien stonden op de laptop van de verdachte GigaTribe-chatgesprekken.

Mooi is ook de volgende overweging van het hof: ‘dat de verdachte de gebruiker is geweest van het account leidt het hof af uit de omstandigheid dat nagenoeg hetzelfde wachtwoord van dit account, staat vermeld op de onderlegger die de verbalisanten onder het toetsenbord van de verdachte hebben aangetroffen’. Ook kon het IP-adres worden teruggeleid tot de verdachte.

Veroordeling voor dreiging high school shooting via YouTube

Het hof Amsterdam heeft op 10 december 2019 een verdachte vrijgesproken (ECLI:NL:GHAMS:2019:461) van poging tot bedreiging. De minderjarige verdachte werd verweten op YouTube de volgende tekst te plaatsen:

“Fuck you man just when I was planning my school shooting you came out with motivational bs (this is actually no joke)”.

Het hof overweegt in hun vrijspraak dat in welke context de verdachte zijn bericht heeft geplaatst, namelijk op een groepspagina van een website en als reactie op een bericht van de beheerder. Niet is komen vast te staan dat er een potentiële groep bedreigden op de hoogte zijn geraakt van de bedreiging.

Daarbij komt dat de woorden in het bericht, mede gelet op de context waarin ze zijn gebruikt, een onvoldoende specifieke inhoud en een onvoldoende duidelijk dreigende strekking hebben om een strafbare bedreiging op te leveren. De geplaatste tekst bevat ook geen enkele verwijzing naar een bestaande school, noch naar een locatie waar een dergelijke shooting zou plaatsvinden.

Het hof is daarom van oordeel dat onvoldoende grond bestaat voor de conclusie dat door het bericht redelijke vrees kon ontstaan dat personen het leven zouden kunnen verliezen, zodat ook om die reden van een voltooide bedreiging geen sprake kon zijn. Het bericht kan om dezelfde redenen evenmin worden aangemerkt als een begin van uitvoering om een dergelijke vrees te doen ontstaan, zodat ook van een poging tot bedreiging geen sprake is.

Gevangenisstraffen voor grootschalige phishing

De rechtbank Midden-Nederland heeft op 11 december 2019 verschillende verdachten veroordeeld (o.a. ECLI:NL:RBMNE:2019:5885 t/m ECLI:NL:RBMNE:2019:5898) voor grootschalige phishing. Sommige verdachten kregen een gevangenisstraf opgelegd van 2 en 3 jaar. Ook moesten sommige verdachten geleden schade terugbetalen van rond de 150.000 euro.

De phishing ging in zijn werking door mails te sturen naar mensen die zogenaamd van banken afkomstig zijn. Vervolgens worden de rekeninghouders doorgestuurd naar websites die sprekend op die van de banken lijken. Later verstuurde de verdachte phishingmails waarin stond dat de rekeninghouder een nieuwe bankpas aan moest vragen en zijn inloggegevens moest invoeren.

De gegevens die de gedupeerden op de nepwebsite achter lieten, kwamen terecht in een mailbox waar de verdachte de inloggegevens van had. Op die manier konden de verdachten bij hun inlog- en bankgegevens en konden mededaders geld opnemen bij pinautomaten. De verdachten bestelden daarnaast spullen bij webwinkels en haalden de goederen vervolgens bij afhaalpunten op.

De verdachten maakten zich volgens de rechtbank, met ieder zijn eigen rol, op een uitgekookte manier schuldig aan meerdere diefstallen, oplichting, computervredebreuk (art. 138ab Sr), het ter beschikking stellen van software om computervredebreuk te plegen (art. 139d jo art. 138 ab Sr) en witwassen.