Cybercrime jurisprudentieoverzicht februari 2022

Hoge Raad wijst arrest over ddos-aanvallen

Op 24 december 2021 heeft de Hoge Raad een arrest (ECLI:NL:HR:2021:1944) gewezen over ddos-aanvallen. Het arrest gaat met name over het begrip ‘geautomatiseerd werk’ in de zin van art. 80sexies (oud) Sr in de context van het delict voor ddos-aanvallen (artikel 138b Sr).

De raadsman had in de zaak in eerste aanleg aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op een bepaalde website en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.

Het Hof overwoog dat om van ‘het belemmeren van het gebruik van een geautomatiseerd werk’ te kunnen spreken, het is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd. Uit de bewijsmiddelen volgt naar het oordeel van het hof dat de website door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode ‘uit de lucht te halen’, doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt daarop het verweer.

In het oude begrip van ‘geautomatiseerd werk’ (art. 80sexies Sr (oud)) was vereist dat het werk drie functies vervult, te weten opslag, verwerking en overdracht van gegevens. Niet alleen zelfstandige apparaten die aan deze drievoudige eis voldoen, zijn geautomatiseerde werken, maar ook netwerken, bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken (HR 26 maart 2013, ECLI:NL:HR:2013:BY9718, NJ 2013/468, m.nt. Reijntjes en HR 22 februari 2011, ECLI:NL:HR:2011:BN9287, NJ 2012/62, m.nt. Keijzer (opmerking JJO: ter zijde: waarom verwijst de HR alleen naar een NJ met annotatie, maar niet naar anderen en niet het ECLI-nummer?). Een belemmering van de werking van een computerprogramma waarmee een of meer van die functies, kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.

Het hof heeft vastgesteld dat de verdachte via een bepaalde website zestien ddos-aanvallen heeft laten uitvoeren op een andere website, en dat de toegang tot de website ‘internetsite 2’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder r.o. 2.5 en r.o. 2.6 weergegeven wetsgeschiedenis en gelet op wat onder r.o. 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd. Om deze reden faalt het cassatiemiddel.

Opmerking JJO: mij ontgaat om eerlijk te zijn het nut van dit arrest. Het is vrij onduidelijk opgeschreven (zeker vergeleken met arresten van het Amerikaanse Hooggerechtshof). Het gedoe over het begrip geautomatiseerd werk vind ik ook wat vermoeiend. Het is toch niet zo lastig in een tenlastelegging op te schrijven waarin je opschrijft dat een ‘server’ is platgelegd in de zin van artikel 138b Sr? Uiteraard ben ik benieuwd als mensen de waarde van het arrest beter kunnen duiden :-).

== Update ==

In NJ 2022/124 legt prof. em. Reijntjes (ook in soms onduidelijk en ouderwets taalgebruik) uit dat hier het punt is dat de Hoge Raad in dit arrest door middel van een teleologische interpretatie van de wet het begrip ‘geautomatiseerd werk’ verruimt en van toepassing verklaart op websites:

“De rechtszekerheid (lex certa!) lijkt hierbij niet in het geding; voor een gewoon burger, die wist dat art. 138bis Sr specifiek tegen DDos-aanvallen gericht was, kan het niet als een verrassing zijn gekomen dat de Hoge Raad dat voorschrift dan ook werkelijk in die zin leest. Het zijn alleen de juristen, die schrikken van een teleologische interpretatie, die de letter van de wet opzij schuift.”

Het roept inderdaad wel de vraag op of dan ook kan worden volgehouden dat een ‘account’ niet als geautomatiseerd werk kwalificeert, zoals het Hof Den Haag in september 2020 nog in een arrest duidelijk maakte.

Veroordelingen voor ddos-aanvallen

In januari 2022 waren er een aantal opvallende veroordelingen voor ddos-aanvallen. De zaak van de rechtbank Den Haag (ECLI:NL:RBDHA:2022:22) liet lang op zich wachten, omdat de verdachte op 1 februari 2018 in verzekering was gesteld en pas op 22 februari 2022 eindvonnis wijst.

De verdachte heeft zich gedurende een periode van acht maanden schuldig gemaakt aan het plegen van een groot aantal DDoS-aanvallen op webservers van banken, bedrijven en overheidsinstanties. De rechtbank oordeelt dat er met de handelingen van de verdachte een gemeen gevaar voor goederen en voor de verlening van diensten te duchten was (zoals is vereist voor het delict in artikel 161sexies Sr). Zij verwijst daartoe naar het arrest van de Hoge Raad van 22 februari 2011, ECLI:NL:HR:BN9287, waarin is geoordeeld dat onder ‘gemeen gevaar’ mede wordt verstaan het gevaar voor een ongestoorde dienstverlening aan een onbestemd, doch aanmerkelijk aantal afnemers. Uit de bewijsmiddelen die zijn opgenomen in bijlage II blijkt dat er voor een (groot) aantal afnemers van diensten en goederen een verstoring is opgetreden, dan wel kon optreden tijdens de ddos-aanvallen van de verdachte.

Vanwege de forse overschrijding van de redelijk termijn krijgt de verdachte verder geen gevangenisstraf, maar een werkstraf van 200 uur. De forse vorderingen van materiele schade (oplopend tot ruim 8 ton) worden door de rechtbank niet toegewezen. Met betrekking tot de hoogte van de schade is de rechtbank met de officier van justitie en de verdediging van oordeel dat deze, mede gelet op de gemotiveerde betwisting daarvan, vooralsnog onvoldoende is onderbouwd. Nader onderzoek is noodzakelijk en dit levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op. Zij verklaart daarom de benadeelde partijen niet-ontvankelijk in de vordering. De vordering kan bij de burgerlijke rechter worden aangebracht.

De Rechtbank Den Haag veroordeelde verder op 4 januari 2022 (ECLI:NL:RBDHA:2022:22) een man van twintig voor DDoS aanvallen op mijnoverheid.nl en overheid.nl in maart 2020, als gevolg waarvan deze websites tijdelijk niet bereikbaar waren. Deze aanvallen zijn te kwalificeren als gericht tegen een geautomatiseerd werk behorende tot de vitale infrastructuur (artikel 138b Sr), waarbij ook een gemeen gevaar voor de verlening van diensten was te duchten (artikel 161sexies Sr). Ook wordt de verdachte veroordeeld voor bedreiging met de dood van politieagenten.

De raadsman had vrijspraak bepleit omdat uit het procesdossier niet blijkt dat de handelingen van de verdachte daadwerkelijk een stoornis in de gang of werking van de webserver van overheid.nl hebben veroorzaakt (feit 1) of de toegang tot en het gebruik van deze webserver hebben belemmerd (feit 2). Voor zover dit zou blijken uit het rapport van Solvinity van 26 maart 2020, dat als bijlage bij de vordering van de benadeelde partij is gevoegd, kan de rechtbank dit rapport volgens de raadsman niet gebruiken voor het bewijs. Het rapport is namelijk zeer kort voor de terechtzitting in het geding gebracht en niet geverifieerd door opsporingsambtenaren aan de hand van een ambtsedig opgemaakt proces-verbaal, aldus de verdediging.

In dit kader is het van belang op te merken dat het Hof Den Haag op 27 januari 2022 in twee arresten (ECLI:NL:GHDHA:2022:57, ECLI:NL:GHDHA:2022:58) zich heeft uitgesproken over de toelaatbaarheid van het verrichten van het voorbereid onderzoek door en in opdracht van een verzekeringsmaatschappij. De rechtbank heeft eerder de officier van justitie niet-ontvankelijk verklaard in twee zaken, omdat in deze zaken is het voorbereidend onderzoek verricht door en in opdracht van verzekeringsmaatschappijen. In dat geval vindt vervolging plaats, zonder dat van opsporing sprake is geweest. Volgens het hof wordt daarmee een fundamentele inbreuk gemaakt op het strafvorderlijk systeem, dat vereist dat vervolging plaatsvindt naar aanleiding van een opsporingsonderzoek. Opsporing gebeurt onder gezag van de officier van justitie door ambtenaren, die bij de wet zijn aangewezen (zie artikelen 132a, 141 en 167 van het wetboek van strafvordering). Deze bepalingen vormen het fundament voor een integere en onafhankelijke rechtspraak die de waarheidsvinding tot doel heeft. Door een inbreuk hierop te maken, is het wettelijk systeem in de kern geraakt, aldus het hof. Het gevolg daarvan is dat de officier van justitie in deze zaken niet ontvankelijk is verklaard. Het verdient de voorkeur als resultaten van onderzoek door een verzekeringsmaatschappij inhoudelijk worden getoetst en vervolgens worden ingebracht in het opsporingsonderzoek dat onder gezag van de officier van justitie staat, voor het dossier aan de rechter wordt aangeboden.   

In de onderhavige zaak is de rechtbank van oordeel dat het rapport van Solvinity wel degelijk kan worden gebruikt voor het bewijs. Het is een geschrift dat aan het dossier is toegevoegd en ter terechtzitting is besproken. Naar vaste rechtspraak van de Hoge Raad verzet geen rechtsregel zich in een dergelijk geval tegen het gebruik daarvan als bewijsmiddel. Geen rechtsregel gebiedt voorts dat een dergelijk rapport zou moeten worden geverifieerd door een opsporingsambtenaar. De inhoud van het rapport biedt voorts geen enkele aanleiding om de betrouwbaarheid of juistheid daarvan in twijfel te trekken.

Bij het bepalen van de straf in de ddos-zaak houdt de rechtbank onder meer rekening met de omstandigheid dat de DDoS zijn gepleegd in de beginfase van de coronapandemie, toen veel mensen behoefte hadden aan de informatie van de overheid over de verspreiding van het virus en de maatregelen ter bestrijding daarvan door de overheid. De rechtbank houdt bij de straftoemeting tevens rekening met ‘sterke aanwijzingen voor persoonlijkheidsproblematiek’, de jonge leeftijd van de verdachte, zijn houding tijdens de zitting en een blanco strafblad. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op van drie maanden, een onvoorwaardelijke taakstraf van 120 uur, een proeftijd van drie jaar, alsmede een schadevergoeding van € 9.213,75.

Veroordeling voor aankoop wapen via het darkweb van een undercoveragent

De rechtbank Noord-Nederland heeft op 17 februari 2022 een verdachte veroordeeld (ECLI:NL:RBNNE:2022:402) voor een poging tot het voorhanden krijgen van een vuurwapen op grond van de Wet wapens en munitie. De verdachte is op het darkweb op zoek gegaan naar een wapen en heeft vervolgens via Protonmail contact had gelegd met een undercoveragent (en niet met een wapenleverancier).

De bewijsoverwegingen zijn interessant om te lezen. Zo is te lezen dat de ‘blijkens door Google verstrekte gegevens’ het Gmailadres was aangemaakt middels een Sloveens IP-adres, door een gebruiker met een accountnaam van de verdachte. Het emailadres [emailadres] @gmail.com is gekoppeld aan een Skype-account met de username [verdachte] en de locatie Slov.Konjice, Slovenia. Blijkens onderzoek in politiesystemen verblijft op het adres [straatnaam] te [woonplaats], een man genaamd [verdachte], geboren op [geboortedatum] 1976 te [geboorteplaats] (voormalig Joegoslavië, nu Slovenië). De gesprekken tussen de undercoveragent en de verdachte zijn als proces-verbaal bijgevoegd en te lezen in te uitspraak. Na verloop van tijd ging de communicatie over naar protonmail en werd de prijs van 1500 euro voor een vuurwerpen van het merk Beretta, type 92 FS in het kaliber 9×19 millimeter.

De rechtbank oordeelt dat sprake is van het begin van een uitvoering, gericht op de aankoop en daarmee het voorhanden krijgen van het betreffende vuurwapen. Het feit dat de verkoop niet is doorgegaan is enkel gelegen in de omstandigheid dat de verkoper een infiltrant van de politie betrof en niet doordat verdachte de koop niet wilde doorzetten. Bovendien acht de rechtbank de verklaring van verdachte dat hij enkel nieuwsgierig was gelet op bovenstaande bewijsmiddelen, in het bijzonder de inhoud van de door hem verstuurde berichten, ongeloofwaardig.

De rechtbank overweegt dat het ongecontroleerde bezit van een vuurwapen roept een onaanvaardbaar gevaar voor de veiligheid van anderen in het leven. Het blijft de vraag wat de verdachte van plan was met het wapen, omdat hij daarover geen openheid van zaken heeft willen geven. De rechtbank rekent dit verdachte ernstig aan. De rechtbank veroordeelt verdachte tot een gevangenisstraf voor de duur van zes maanden waarvan drie maanden voorwaardelijk met een proeftijd van twee jaren. De rechtbank acht het geldbedrag van €1.500,- vatbaar voor verbeurdverklaring nu het geldbedrag aan verdachte toebehoort en het bestemd was voor het begaan van het bewezenverklaarde feit (het betrof immers het aankoopbedrag voor het wapen).

Veroordelingen voor wraakporno

Op 1 februari 2022 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2022:294) voor dwang, wraakporno en afdreiging.

De verdachte ontmoette het slachtoffer via ‘Yubo’, een soort dating app. De verdachte verspreidde een filmpje via Telegram van een meisje dat zichzelf bevredigd. Dit was niet het slachtoffer, maar de verdachte deed alsof zij dat was en verspreidde haar profiel van Instagram en Snapchat in hetzelfde kanaal, samen met (niet-naakt)foto’s die zij naar de verdachte had verstuurd. De tekst bij het bericht was: “[slachtoffer 2] uit [woonplaats], zit op school in [plaats] en hockeyt ook nog, deze vieze kk kebber ligt wekelijks met een andere boy in bed en vind dat nog leuk ook, maak de helemaal kapot deze kleine kanker hoer [telefoonnummer]”. De Telegramgroep had op dat moment 88.215 leden.

De rechtbank overweegt dat uit de verklaring van aangeefster en uit de app-gesprekken volgt dat de verdachte het slachtoffer dwong om contact met hem te houden en dreigde haar toekomst te verpesten en haar gegevens online te plaatsen als aangeefster hem niet zou deblokkeren. Het ten laste gelegde delict dwang ten opzichte van het eerste slachtoffer is daarmee wettig en overtuigend bewezen.

Ten opzichte van een tweede slachtoffer heeft de verdachte zich schuldig gemaakt aan afdreiging door haar te dwingen naaktfoto’s en -filmpjes van zichzelf aan hem te sturen, onder de bedreiging dat hij anders haar foto’s zou gaan lekken op Telegram. Het minderjarige slachtoffer heeft vervolgens onder die druk meerdere naaktfoto’s en -filmpjes van zichzelf aan verdachte gestuurd. Het openbaar maken van de video in de appgroep ziet de rechtbank als wraakporno, omdat de filmpjes van seksuele aard waarop een onbekend gebleven persoon te zien is en de daarbij geplaatste foto’s van het account van het slachtoffer, nadeel opleveren voor het tweede slachtoffer.

De verdachte wordt veroordeeld tot een jeugddetentie van 210 dagen (met aftrek van voorarrest) en een proeftijd van twee jaren. Ook krijgt de verdachte voor drie jaar een vrijheidsbeperkende maatregel (contactverbod) opgelegd.

De rechtbank Den Haag heeft op 26 januari 2022 een verdachte veroordeeld (ECLI:NL:RBDHA:2022:467) voor identiteitsfraude, belaging, ‘sextortion’ (afdreiging) en wraakporno. De verdachte heeft zich schuldig gemaakt aan identiteitsfraude door de gegevens van zijn ex-partner [slachtoffer] te misbruiken bij het afsluiten van een telefoonabonnement bij KPN, bij een bestelling van een iPhone 12 Pro en het aanmaken van een account op de website Werksters.nl. Door haar gegevens te gebruiken heeft hij haar overlast en nadeel bezorgd.

De verdachte dreigde een tweede slachtoffer dat zij toegangstickets voor Decibel aan hem moest sturen, omdat anders seksfilmpjes zouden worden verspreid. Hoewel het slachtoffer aan dit dreigement toegaf, heeft de verdachte die desbetreffende seksfilmpjes aan verscheidene vrienden van het slachtoffer gestuurd. De verdachte heeft aangevoerd dat het iemand anders moet zijn geweest die deze berichten heeft verstuurd, omdat zijn Instagram account gehackt is geweest. Deze bewering houdt naar het oordeel van de rechtbank geen stand. De rechtbank acht onaannemelijk dat een ander zich niet alleen heeft uitgegeven als de verdachte, maar ook toegang heeft gehad tot zijn telefoon, Instagramaccount en mailaccount. Dat deze persoon bovendien de beschikking heeft gehad over de betreffende seksfilmpjes die op de telefoon van verdachte stonden, acht de rechtbank volstrekt onaannemelijk.

De rechtbank overweegt ook of sprake is van belaging (zoals bedoeld in artikel 285d Sr). Bij de beoordeling van de vraag of sprake is van belaging als bedoeld in art. 285b, eerste lid, Sr zijn verschillende factoren van belang, te weten de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710; HR 4 november 2014, ECLI:NL:HR:2014:3095). Uit de verklaringen van het tweede slachtoffer blijkt duidelijk dat zij geen contact wilde met de verdachte en dat zij hem meerdere malen heeft verzocht om haar met rust te laten. Ook heeft zij hem op een bepaald moment op WhatsApp en Instagram geblokkeerd. De verdachte zelf wist ook dat zij geen contact met hem wilde, zo heeft hij bij de rechter-commissaris verklaard dat zij hem negeerde, maar dat hij toch contact bleef zoeken. De verdachte had zodoende moeten begrijpen dat hij geen contact meer moest opnemen met het slachtoffer. Het enkele feit dat slachtoffer in de tenlastegelegde periode eenmalig zelf contact heeft gezocht met de verdachte doet hier niet aan af. Het handelen van de verdachte heeft een grote impact gehad op het persoonlijk leven van slachtoffer.

De rechtbank is van oordeel dat de aard, duur, frequentie en intensiteit van de hiervoor vastgestelde gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer – naar objectieve maatstaven bezien – zodanig zijn geweest dat van een stelselmatige inbreuk op haar persoonlijke levenssfeer sprake is geweest. Deze inbreuk was bovendien wederrechtelijk.

De rechtbank acht daarmee bewezen dat de verdachte zich aan de ten laste gelegde belaging schuldig heeft gemaakt. De rechtbank legt aan de verdachte een gevangenisstraf op voor de duur van acht maanden, met als bijzondere voorwaarden een contactverbod en een locatieverbod.