Enkele hoofdstukken uit de tweede editie van het Basisboek Cybercriminaliteit stel ik, na afloop van de embargoperiode van één jaar, nu in open access beschikbaar. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit in enge zin’ (.pdf), Verschijningsvormen van gedigitaliseerde criminaliteit (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).
In de tweede druk hebben we gekozen voor twee afzonderlijke hoofdstukken over cybercriminaliteit: één voor elke categorie. Onderaan deze pagina staat de inhoudsopgave van de hoofdstukken, voor een indruk krijgt van de behandelde onderwerpen.
Het studieboek wordt veel gebruikt in criminologie- en strafrechtopleidingen aan verschillende Nederlandse universiteiten en hogescholen. Heeft u vragen of opmerkingen over het boek, of wilt u wijzen op een onvolkomenheid? Dan hoor ik dat graag per e-mail (zie mijn medewerkerspagina).
De overige hoofdstukken in het boek behandelen onder andere criminologische theorieën en cybercriminaliteit, daders en slachtoffers van cybercriminaliteit, en interventiestrategieën. Deze hoofdstukken zijn niet open access beschikbaar, maar het volledige boek is onder andere verkrijgbaar via Boom.nl.
Inhoudsopgaven hoofdstukken
Hoofdstuk 3 – Verschijningsvormen van cybercriminaliteit in enge zin
Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg
3.1 Inleiding
3.2 Strafbaarstelling van cybercriminaliteit in enge zin
3.3 Hacken (computervredebreuk)
3.3.1 Strafbaarstelling
3.3.2 Ethisch hacken
3.4 Malware
3.4.1 Info-stealers
3.4.2 Ransomware
3.4.3 Banking malware
3.4.4 Strafbaarstelling
3.5 Botnet
3.5.1 Strafbaarstelling
3.6 Ddos-aanval
3.6.1 Strafbaarstelling
3.7 De rol van social engineering bij cybercriminaliteit
3.8 Toekomstige ontwikkelingen
3.8.1 Meer invloed van statelijke actoren
3.8.2 Het Internet der Dingen
3.9 Tot besluit
3.10 Discussievragen
3.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, W. van der Wagen & M. Weulen Kranenbarg, ‘Verschijningsvormen van cybercriminaliteit in enge zin’, p. 69-104 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 4 – Verschijningsvormen van gedigitaliseerde criminaliteit
Jan-Jaap Oerlemans, Anne de Hingh & Wytske van der Wagen
4.1 Inleiding
4.2 De verschillende lagen van het internet: het clear, deep en dark web
4.3 Online handelsplaatsen
4.3.1 Handelsplaatsen op het clear web
4.3.2 Handelsplaatsen op het dark web
4.3.3 Handelsplaatsen op communicatie-apps
4.3.4 Strafbaarstelling
4.4 Witwassen met virtuele valuta
4.4.1 Regulering
4.4.2 Strafbaarstelling
4.5 Internetoplichting
4.5.1 Strafbaarstelling
4.6 Online zedendelicten
4.6.1 Beeldmateriaal van seksueel misbruik van minderjarigen
4.6.2 Sexting
4.6.3 Misbruik van seksueel beeldmateriaal
4.6.4 Sextortion
4.6.5 Online grooming en sexchatten
4.7 Online uitingsdelicten
4.7.1 Uitingsdelicten en de vrijheid van meningsuiting
4.7.2 Strafbaarstelling van uitingen
4.7.3 Het verwijderen van strafbaar materiaal
4.8 Toekomstige ontwikkelingen
4.8.1 AI en gedigitaliseerde criminaliteit
4.8.2 Criminaliteit in virtual reality- en mixed reality werelden
4.9 Tot besluit
4.10 Discussievragen
4.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, A.E. de Hingh, W. van der Wagen, ‘Verschijningsvormen van gedigitaliseerde criminaliteit’, p. 105-164 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 9 – Cybercriminaliteit en opsporing
Jan-Jaap Oerlemans & Mojdeh Kobari
9.1 Inleiding 287
9.2 Het opsporingsonderzoek en de normering van opsporingsmethoden
9.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland
9.2.2 De politie
9.2.3 Openbaar Ministerie
9.2.4 Rechterlijke macht
9.2.5 Het strafvorderlijk legaliteitsbeginsel en de IRT-affaire
9.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden
9.3 Het IP-adres als digitaal spoor
9.3.1 Het opsporingsproces bij een IP-adres als spoor
9.3.2 Het vorderen van gegevens
9.3.3 Digitaal bewijs en onderzoek op gegevensdragers
9.3.4 Regels voor de inbeslagname en onderzoek op gegevensdragers
9.3.5 De netwerkzoeking
9.4 Opsporingsmethoden en de uitdaging van anonimiteit
9.4.1 Anonimiseringstechnieken
9.4.2 Publiek toegankelijke bronnen
9.4.3 Undercoverbevoegdheden
9.5 Opsporingsmethoden en de uitdaging van versleuteling
9.5.1 Versleuteling in opslag
9.5.2 Versleuteling in transport
9.5.3 De hackbevoegdheid
9.6 Jurisdictie en grensoverschrijdende digitale opsporing
9.6.1 Wetgevende jurisdictie
9.6.2 Handhavingsjurisdictie en rechtshulp
9.6.3 Unilaterale digitale opsporing
9.7 Verstoring en de brede bestrijding van cybercriminaliteit
9.8 Tot besluit
9.9 Discussievragen
9.10 Kernbegrippen
Citeerwijze:
J.J. Oerlemans & M. Kobari, ‘Cybercriminaliteit en opsporing’, p. 287-343 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Bron: dit is met AI een door WordPress gegenereerde afbeelding met als thema “digitale opsporing”
(JJO: en LOL om het mondkapje)
Geen sprake van een vormverzuim bij toegang tot Whatsappgroep
Op donderdag 7 november 2024 werd in de Johan Cruijff ArenA in Amsterdam een voetbalwedstrijd gespeeld tussen Ajax en Maccabi Tel Aviv FC uit Israël. Zowel voorafgaand aan als na afloop van die wedstrijd zijn er rond de ArenA en in de binnenstad van Amsterdam ongeregeldheden ontstaan. Die ongeregeldheden hebben in binnen- en buitenland veel ophef veroorzaakt, zoals is te lezen in deze reconstructie in NRC.
Ook ontstond de vraag of de politie al dan niet mag meekijken met gesprekken in Whatsappgroepen waar je alleen via een link toegang toe krijgt, voordat sprake is van een verdenking en de mededeling dat het ministerie van Justitie en Veiligheid dit beter wil regelen (zie bijvoorbeeld dit artikel in de Volkskrant). Hier heb ik zelf ook in een artikel van NRC commentaar op gegeven en gewezen op onduidelijkheden over verantwoordelijkheden en of hier nu sprake is van inlichtingenonderzoek of een opsporingsonderzoek.
Strafzaak
Ondertussen acht de rechtbank Amsterdam deze werkwijze van de politie rechtmatig (ECLI:NL:RBAMS:2024:8177) en stelt dat er geen vormverzuim heeft plaatsgevonden bij het veiligstellen van berichten uit een Whatsappgroep dat alleen via een link toegankelijk is. Ook staan er interessante overwegingen in over de gepleegde strafbare feiten. Daarom besteed in de rubriek uitgebreid aandacht aan deze uitspraak.
Vormverzuim?
De verdediging stelt dat zich een onherstelbaar vormverzuim heeft voorgedaan. Voor de deelname van de politie in de WhatsAppgroep ‘Buurthuis 2’ zou artikel 3 van de Politiewet 2012 onvoldoende grondslag bieden. (Deze Whatsappgroep wordt overigens in de samenvatting bij naam genoemd en door onverklaarbare redenen later in de uitspraak geanonimiseerd.) Volgens de verdediging moet de door de infiltratie verkregen data worden uitgesloten van het bewijs. Verdachte moet daarom integraal worden vrijgesproken.
De officier van justitie heeft zich op het standpunt gesteld dat van een vormverzuim geen sprake is, omdat de verbalisanten op grond van artikel 3 Politiewet bevoegd waren om deel te nemen aan de WhatsAppgroep. Op het moment dat er bij de politie signalen binnenkwamen over de wedstrijd tussen Ajax en Maccabi Tel Aviv, waren er nog geen verdenkingen van strafbare feiten. De verbalisanten hebben aan de groep deelgenomen met het doel om de openbare orde te bewaken. Van infiltratie was geen sprake. De verbalisanten hebben passief meegelezen en zij hebben slechts een beperkt aantal uren toegang gehad tot de WhatsAppgroep. Bovendien was de appgroep een openbare groep met bijna duizend mensen, die gebruik maakten van een nickname. Er werd dan ook geen volledig beeld van bepaalde aspecten van iemands leven verkregen. Het voorwaardelijke verzoek van de verdediging om de verbalisanten als getuigen te horen moet worden afgewezen.
Oordeel rechtbank
De rechtbank is van oordeel dat geen sprake is van een vormverzuim en overweegt daartoe als volgt. In dit dossier zijn virtueel agenten ingezet. Dit zijn politiemedewerkers die op het internet informatie verzamelen, terwijl ze niet kenbaar zijn als politieagent. De politiemedewerkers werkten op basis van de algemene taakstelling van artikel 3 Politiewet en hebben daarvoor toestemming gekregen van de informatie-officier van justitie. De officier van justitie heeft tijdens de zitting toegelicht dat deze medewerkers in het kader van de handhaving van de openbare orde hebben gehandeld. De dag ervoor was onrust ontstaan in de stad en de voetbalwedstrijd werd gezien als risicovol in het kader van het handhaven van de openbare orde. Op basis van artikel 3 Politiewet mag, gelet op artikel 8 EVRM, in principe slechts een niet meer dan beperkte inbreuk op de privacy van burgers worden gemaakt.
In de uitleg van de Hoge Raad: er mag niet een min of meer compleet beeld van bepaalde aspecten van het persoonlijk leven van de betrokkene worden verkregen (de rechtbank verwijst daarbij naar: HR 19 januari 2021, ECLI:NL:HR:2021:80)
Anders dan de verdediging heeft betoogd maar niet verder heeft onderbouwd, heeft de deelname van de verbalisanten in de WhatsAppgroep er niet toe geleid dat een min of meer compleet beeld van bepaalde aspecten van leven van verdachte is verkregen. De rechtbank overweegt daartoe dat een WhatsAppgroep was met meer dan 900 deelnemers; een brede en betrekkelijk willekeurige kring van deelnemers. De verbalisanten hebben gedurende een korte tijdsperiode deelgenomen aan de groep, namelijk tussen 09:52 uur (7 november 2024) en 11:23 uur (8 november 2024). Van infiltratie als bedoeld in artikel 126h Sv was dan ook geen sprake. Er is daarom slechts sprake van een beperkte inbreuk op de persoonlijke levenssfeer van verdachte, zodat artikel 3 van de Politiewet een toereikende wettelijke grondslag bood voor het handelen van de verbalisanten. De rechtbank vindt dat hiermee niet in strijd met artikel 8 en 11 van het EVRM is gehandeld.
De rechtbank benadrukt dat voor de handelwijze van de virtueel agenten een verdenking van een strafbaar feit niet nodig was. De rechtbank komt tot de conclusie dat geen sprake is van een vormverzuim en het verweer wordt verworpen.
Strafbare feiten
In de uitspraak staan nog een aantal andere interessante overwegingen. De verbalisant heeft de berichten in de groep kunnen ‘monitoren’ en lezen door op een link te klikken en daarmee toegang te krijgen tot een Whatsappsgroep op 7 november 2024. De verbalisant heeft de gesprekken in de groep veiliggesteld. Op het moment van veiligstellen waren 966 deelnemers aan de groep toegevoegd.
De inhoud van de berichten speelde een rol in het bewijs en de verdachten in de strafzaak heeft op zitting verklaard zijn telefoonnummer en gebruikersnaam gekoppeld kunnen worden aan een deel van de berichten. Het gaat dan om berichten zoals de volgende:
In ‘[appgroep 1]’ zijn bijvoorbeeld de volgende berichten verstuurd:
Op 7 november 2024:
Tijdstip
Afzender
Bericht
11:26 uur
‘.’
Ik zie 3 stuks lopen hier met die sjaal ah Spuistraat
11:27 uur
‘ [afzender 1] ’
Spuug op ze
11:26 uur
‘ [afzender 2] ’
Steen op ze hood
11: 26 uur
[gebruikersnaam]
Knal ze neer
(..)
(..)
03:03 uur
[gebruikersnaam]
Klappen gegeven en ze tellie afgepakt
03:03 uur
[afzender 6]
Bouchansss
03:03 uur
‘.’
soldaat
(..)
De verdachte in de onderhavige zaak wordt veroordeeld voor art. 141a Sr: “Hij die opzettelijk gelegenheid, middelen of inlichtingen verschaft tot het plegen van geweld tegen personen of goederen wordt gestraft met gevangenisstraf van ten hoogste drie jaren of een geldboete van de vierde categorie.”
Artikel 141a Sr is ingevoerd om te kunnen optreden tegen groepen (voetbal)vandalen die elkaar opzoeken voor een gewelddadig treffen, zonder dat daartegen effectief kan worden opgetreden, aangezien dergelijk treffen vaak kort van tevoren wordt afgesproken. Daarmee zou een doeltreffende aanpak van in het bijzonder voetbalvandalisme worden belemmerd. De rechtbank overweegt dat onder de bestanddelen ‘gelegenheid, middelen of inlichtingen verschaffen’, in ieder geval verstaan het via digitale communicatie bij elkaar oproepen tot een ontmoeting op een bepaalde plaats en tijd en het opzettelijk voorhanden hebben van voorwerpen. Aannemelijk is dat met de bestanddelen gelegenheid, middelen of inlichtingen aansluiting wordt gezocht bij artikel 48 Sr (medeplichtigheid), zij het dat het verschaffen van gelegenheid, middelen of inlichtingen er niet primair toe strekt om te bewegen tot het plegen van geweld. Het gaat erom dat met het verschaffen van gelegenheid, middelen of inlichtingen iemand op het kwade pad kan worden gebracht. Op grond van de inhoud van de berichten en de context waarin deze berichten zijn verstuurd, zoals hierboven weergegeven, stelt de rechtbank vast dat verdachte in de appgroep opzettelijk inlichtingen heeft verschaft tot het plegen van geweld tegen personen van Joodse komaf en/of aanhangers van Maccabi Tel Aviv. Verdachte heeft door op de hiervoor beschreven wijze deel te nemen aan de WhatsAppgroep nauw en bewust samengewerkt met andere deelnemers in die groep. Daarmee acht de rechtbank het tenlastegelegde medeplegen bewezen.
Groepsbelediging
Ook wordt het groepsbelediging (art. 137c lid 1 Sr) door de rechtbank bewezen geacht. De rechtbank stelt op grond van de in paragraaf 5.3.1 genoemde bewijsmiddelen vast dat verdachte in de WhatsAppgroep ‘ [appgroep 1] ’ de berichten “Insha allah zijn er doden gevallen bij de Jode”, “Laffe kk joden” en “Deze kans krijg ik miss nooit meer. Om kk joden te slaan jerusalem” heeft verstuurd. Naar het oordeel van de rechtbank zijn deze uitlatingen, mede gezien de context waarin deze zijn gedaan, beledigend voor een groep mensen, te weten Joden, wegens hun ras en/of godsdienst.
Uitlating in het openbaar?
Voor bewezenverklaring van groepsbelediging als bedoeld in artikel 137c Sr moet verder vast komen te staan dat de beledigende uitlatingen in het openbaar zijn gedaan. Uit de rechtspraak van de Hoge Raad (ECLI:NL:HR:2014:952) volgt dat de volgende omstandigheden van belang zijn bij de vraag of sprake is van openbaarheid:
de omvang van de kring van personen tegenover wie de uitlating is gedaan;
de functie of hoedanigheid van degene tegenover wie de uitlating is gedaan;
het ontbreken van voorafgaande betrokkenheid van degene tegenover wie de uitlating is gedaan bij degene die de uitlating doet;
de mate waarin aan de uitlating door inhoud of vormgeving kenbaar een min of meer vertrouwelijk karakter moet worden ontzegd;
de mate waarin de uitlating geëigend is om aan de inhoud daarvan bekendheid te geven buiten de kring van personen tot wie de uitlating rechtstreeks is gericht;
de mate waarin de uitlating door de wijze waarop zij is gedaan – mondeling, bij brief, per e-mail, door plaatsing op een voor anderen toegankelijke site of anderszins – vatbaar is voor kennisneming door anderen dan de rechtstreeks geadresseerde, en
de kans dat de inhoud van de uitlating ter kennis komt van anderen dan degenen tot wie de uitlating rechtstreeks is gericht.
De rechtbank overweegt dat verdachte de uitlatingen heeft gedaan in de WhatsAppgroep ‘Buurthuis 2’. Dit betrof een WhatsAppgroep waar men makkelijk aan kon deelnemen: door simpelweg op een link te klikken werd toegang tot de groep verleend en deze link werd kennelijk rondgestuurd in andere WhatsAppgroepen. De Whatsappgroep bestond op het moment van veiligstellen uit 966 deelnemers. Verdachte heeft zich in deze groep tegenover willekeurige personen geuit die hij niet kende. Deze uitlatingen zijn choquerend en van vertrouwelijkheid was geen sprake.
Gezien het aantal deelnemers in de Whatsappgroep was de kans dat de uitlatingen ter kennis kwamen van anderen dan de personen in de groep, aanzienlijk. De rechtbank is daarom van oordeel dat de uitlatingen van verdachte in het openbaar zijn gedaan.
De verdachte wordt veroordeeld tot een gevangenisstraf van tien weken (en zijn iPhone wordt verbeurd verklaard).
Ontmanteling Matrix cryptocommunicatiedienst en strafzaken
Op 3 december 2024 hebben de Nederlandse en Franse autoriteiten de cryptocommunicatiedienst ‘MATRIX’ tijdens ‘Operation Passion Flower’ ontmanteld (zie ook deze blog). Deze dienst wordt door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. In het persbericht staat dat ruim 2,3 miljoen berichten zijn onderschept. Deze berichten worden gebruikt in strafzaken.
Moord op Peter R. de Vries
Eerder kwam de politie de cryptocommunicatiedienst ook al tegen in opsporingsonderzoeken. Zo speelde cryptocommunicatiedienst speelde bijvoorbeeld een rol in de moord op Peter R. De Vries. In haar uitspraak (ECLI:NL:RBAMS:2024:3272) van 12 juni 2024 overweegt de rechtbank Amsterdam bijvoorbeeld dat in de auto van de verdachte een Google Pixel telefoon werd aangetroffen, met de ‘Matrix chatapplicatie’ en het NFI die telefoon heeft ontsleuteld.
De telefoons werden aan de verdachten gekoppeld en speelden een belangrijke rol in de lokalisering van de verdachten dat zeer uitvoering in de uitspraak wordt beschreven. Daarbij zijn ook verkeersgegevens en zendmastgegevens van de telefoons van verdachten opgevraagd. De inhoud van de berichten en foto’s die zijn verstuurd, in combinatie met verkeersgegevens en ander bewijs, droegen ook bij aan het bewijs tegen de verdachten. Zo beschrijft de rechtbank de inhoud van een bericht over ‘het wapen naar huis brengen en de auto achterlaten’ en dat de verdachte om 18:58 uur het bericht stuurt hij dat een medeverdachte ‘niet met het wapen mag spelen’.
Later zal in het vonnis stelt de rechtbank vast dat [medeverdachte K.W.] op 5 juli 2021, samen met [medeverdachte K.E.] , omstreeks 18:49 uur wapens heeft opgehaald in Alphen aan den Rijn. En dat met één van die wapens, een omgebouwd gas- en alarmpistool van het merk Zoraki, Peter R. de Vries is neergeschoten. Later in dit vonnis zal de rechtbank vaststellen dat ook op dit wapen DNA van [medeverdachte K.W.] is aangetroffen.
De rechtbank Overijssel overweegt in een andere uitspraak van 16 juli 2024 (ECLI:NL:RBOVE:2024:3798) over een moord in de Dominicaanse Republiek dat de verdachte van (het medeplegen van poging van de) de moord in verbinding met de opdrachtgevers via Google Pixel telefoons, met daarop klaarblijkelijk MATRIX-applicaties. Ook de overige leden van de criminele organisatie kregen deze telefoons door de organisatie verstrekt. De verdachte zorgde ervoor dat zijn “soldaten” ook zo’n telefoon kregen. Ze communiceerden met elkaar door te chatten via MATRIX-accounts.
De verdachte werd onder andere geïdentificeerd door informatie verkregen uit een doorzoeking van zijn woning. Hierbij werd een Google Pixel-telefoon in beslag genomen, waarmee werd gecommuniceerd via MATRIX-apps. Uit deze telefoon bleek dat de verdachte betrokken was bij diverse strafbare feiten, zoals het voorbereiden en (mede)plegen van een aanslag, evenals het bezit en de overdracht van wapens.
Foto’s gemaakt met de telefoon van de verdachte en een medeverdachte toonden bijvoorbeeld verschillende wapens, waarvan een aantal later daadwerkelijk werd aangetroffen op locaties die aan de verdachte en zijn medeverdachten verbonden waren. Uit de communicatie blijkt dat hij medeverdachten instrueerde en logistieke ondersteuning bood, zoals het regelen van tickets naar de Dominicaanse Republiek en het verstrekken van middelen zoals wapens.
De rechtbank overweegt dat als een opdracht is uitgevoerd dat moet worden bewezen door het tonen van foto’s, video’s of berichtgeving waarin het strafbare feit door de media wordt beschreven. Dit werd via de ‘makelaar’ aan de opdrachtgever gestuurd. Het lijkt erop dat alles voor de opdrachtgever werd vastgelegd ter controle van de makelaar en de soldaten. De verdachte heeft dit laatste ter zitting bevestigd.
Veroordeling n.a.v. de iSpoof operatie
Op 8 oktober 2024 veroordeelde de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2024:5743) een verdachte voor bankhelpdeskfraude met behulp van de iSpoof applicatie. iSpoof is een spoofingdienst waarmee gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander (zie ook deze blog over de operatie).
Om gebruik te kunnen maken van spoofing moet betaald worden aan iSpoof en worden de gesprekken via een bepaalde server gevoerd. De politie heeft de gesprekken die via deze applicatie werden gevoerd afgetapt. Deze gesprekken zijn vervolgens beluisterd en deze worden gebruikt in strafzaken, waaronder in de onderhavige zaak.
De rechtbank overweegt dat in dit geval het weergegeven telefoonnummer dat de persoon die gebeld wordt ziet, het zogenaamde Caller-ID, is geconfigureerd met behulp van een applicatie. Het is dus niet het werkelijke nummer van de beller, maar een gespooft nummer. De gespoofte nummers die de slachtoffers in deze zaak zagen lijken sterk op nummers die door banken worden gebruikt en werden daarom ook vertrouwd door de aangevers.
Modus-operandi bankhelpdeskfraude
De modus-operandi van de verdachte en anderen in de periode half februari 2023 tot half maart 2023 worden door de rechtbank in de volgende zes stappen omschreven:
De daders weten de hand weten te leggen op persoonsgegevens van slachtoffers, zogenaamde leads. Zo beschikken de daders over namen, telefoonnummers en bankrekeningnummers (van één bank; in de onderhavige zaak de Triodos bank) van een groot aantal potentiële slachtoffers;
Vervolgens belt één van de (veelal vrouwelijke) daders, de zogenaamde social engineer, het potentiële slachtoffer. Zij stelt zich voor onder een valse naam en zegt werkzaam te zijn op de fraudeafdeling van de, in deze zaak, Triodos Bank. In de onderhavige zaak werd meerdere malen de naam [A] gebruikt;
De social engineer creëert al snel een penibele situatie door het slachtoffer voor te houden dat een groot bedrag van de bankrekening was geprobeerd te halen, dat de bank dit had weten te voorkomen en de bankpassen omgeruild moeten worden omdat die besmet zijn. Haast is geboden;
De social engineer biedt een helpende hand en geeft aan dat het programma Anydesk (een externe desktopapplicatie) dient te worden gedownload om de rekening en de systemen van het slachtoffer op virussen te kunnen controleren. Hoewel de social engineer aangeeft dat dit een anti-virusscanner is, is dit in werkelijkheid een remote control applicatie waarmee de social engineer op afstand kan meekijken met wat het slachtoffer op zijn/haar scherm ziet en doet;
De social engineer bemachtigd de pincodes en eventuele andere inloggegevens van de betaalpas(sen) en/of creditcard(s) van het slachtoffer door hem/haar de pincodes hetzij in te laten spreken, hetzij in te laten voeren op het scherm;
De komst aan huis van een collega van de bank wordt aangekondigd. Deze meldt zich ook daadwerkelijk kort daarna aan de deur en identificeert met een alias en een controlenummer. Dit nummer heeft de social engineer aan het slachtoffer doorgegeven. Deze zogenaamde collega van de social engineer wordt (veelal) door de slachtoffers binnen gelaten. Aldaar worden de bankpassen doorgeknipt, waarbij de chip in stand gelaten wordt, waarna deze collega – met de passen – weer vertrekt. In enkele gevallen is ook een telefoon en/of tablet meegegeven voor controle op virussen. Doorgaans wordt in de uren na dit bezoek geld afgeschreven van de bankrekeningen van de slachtoffers. Naar later blijkt door pintransacties en aankopen.
De rechtbank concludeert dat de verdachte heeft zich samen met anderen meermalen schuldig gemaakt aan bankhelpdeskfraude. Door middel van het handelen van de verdachte en de medeverdachten zijn op slinkse wijze de bankpas(sen) en/of creditcard(s), pincode(s), telefoons en tablets van de slachtoffers bemachtigd om daarmee geld van de bankrekeningen op te nemen.
Straf
De verdachte wordt door de rechtbank schuldig bevonden aan het medeplegen van oplichting en witwassen, diefstal, valsheid in geschrifte en medeplegen van computervredebreuk. Zij krijgt 240 dagen jeugddetentie opgelegd, waarvan 235 dagen voorwaardelijk met een proeftijd van twee jaar met oplegging van bijzondere voorwaarden (o.a. contactverbod met medeverdachte en behandeling bij De Waag) en een onvoorwaardelijke taakstraf van 200 uur in de vorm van een werkstraf. Ook moet de verdachte diverse schadevergoedingen aan benadeelde partijen betalen. De rechtbank heeft in de strafoplegging rekening gehouden met de positieve wending die de verdachte in haar leven heeft gemaakt en daar zelf een grote rol in heeft gespeeld.
Veroordeling voor het witwassen van meer van 10 miljoen euro n.a.v. de Exclu operatie
De rechtbank Zeeland-West-Brabant heeft op 28 november 2024 een uitspraak (ECLI:NL:RBZWB:2024:8122) gedaan op basis van bewijs dat is verzameld tijdens de Exclu-operatie in 2022. Deze uitspraak is interessant vanwege de overwegingen omtrent de rechtmatigheid van het opsporingsonderzoek, het delict witwassen en het gebruik van cryptovaluta.
Het onderzoek ‘Grand Canyon’ was een deelonderzoek van onderzoek 26Lytham, dat tot doel had de identiteit te achterhalen van NN-gebruikers van het Exclu-platform. Berichtenverkeer tussen gebruikers van Exclu is onderschept en ontsleuteld. Omdat de server van Exclu zich op dat moment in Duitsland bevond, heeft voor de interceptie van de berichtenstroom en het verkrijgen van de sleutels een hack plaatsgevonden op de server. De Duitse politiële autoriteiten zijn daartoe overgaan, nadat Nederland hiertoe een verzoek heeft gedaan.
Rechtmatigheid onderzoek
De rechtbank oordeelde dat het onderzoek rechtmatig was. De Nederlandse rechter-commissaris gaf machtigingen voor het aftappen en hacken, waarbij werd voldaan aan de beginselen van proportionaliteit en subsidiariteit. Zo werden vooraf vastgestelde zoeksleutels gebruikt die wezen op zware georganiseerde criminaliteit. De rechter-commissaris heeft de geselecteerde informatie eerst gecontroleerd (op inhoud, omvang en relatie tot strafbare feiten) voordat verdere verspreiding onder het onderzoeksteam heeft kunnen plaatsvinden en de verlengingen van de machtigingen werden periodiek getoetst. Volgens de rechtbank kon de informatie niet op een andere, minder ingrijpende, wijze kon worden verkregen en gebruikt dan de gehanteerde manier.
Equality of arms
Bij de beoordeling van het beginsel ‘equality of arms’ stelde de rechtbank vast dat het procesdossier alle relevante stukken bevatte. De verdediging had toegang tot de dataset van het aan verdachte gekoppelde Exclu-account en beschikte de verdediging over de dataset van de aan het verdachte gekoppelde Exclu-account en kon zij het dossier controleren. Ook is de raadsman de toegang verschaft tot de gehele dataset van Exclu op het politiebureau. De rechtbank is van oordeel dat onderzoeksresultaten tijdig met de verdediging zijn gedeeld en zij daardoor voldoende mogelijkheden heeft gehad om het bewijs te bestuderen en te verifiëren.
Bewijsoverwegingen
De rechtbank neemt in de onderhavige zaak meerdere bewijstukken in overweging. De rechtbank gebruikt voor het bewijs meerdere chatberichten die de verdachten op verschillende tijdstippen aan verschillende accounts hebben gestuurd en de reacties hierop. Naast de chatgesprekken zelf zijn er ook foto’s gestuurd. Het betreft bovendien niet alleen gesprekken via het Exclu-platform, maar ook via andere berichtenapps, zoals Whatsapp en Signal. Daarnaast bevinden zich in het dossier stukken over het forensisch onderzoek en overige bevindingen door verbalisanten. Daarmee is naar het oordeel van de rechtbank sprake van meerdere bewijsmiddelen uit meerdere bronnen en wordt in zoverre aan het bewijsminimum voldaan.
Op basis van de in de chatberichten gebruikte termen, de bijgevoegde foto’s waarop de drugs en (pre-)precursoren pontificaal zijn afgebeeld, het besproken (productie)proces en de (door de verdachte) vermelde bedragen, is het naar het oordeel van de rechtbank evident dat de berichten daadwerkelijk over verdovende middelen en de daarvoor benodigde grondstoffen zijn gegaan.
Witwassen met cryptocurrencies
De verdachte wordt ook schuldig bevonden aan witwassen. Aan de verdachte worden twee cryptovaluta-accounts toegeschreven. De politie heeft alle transacties bestudeerd in de periode van 12 maart 2020 tot en met 3 februari 2023. Uit de berekening blijkt dat op het Binance-account en gezamenlijk in totaal in cryptovaluta is ontvangen: – 10.073.734,94388 USDT;
– 15,95958 BTC;
– 2.335,43416 XMR;
– 9,58803 ETH.
Deze cryptovaluta hebben een geschatte tegenwaarde vertegenwoordigd van € 9.961.937,- op het moment dat de cryptovaluta zijn ontvangen.
In deze zaak is geen direct verband te leggen tussen een concreet misdrijf en het geld en de cryptovaluta waarop de tenlastelegging ziet. Dat betekent dat er geen gronddelict bekend is. Daarom wordt gebruikt gemaakt van het in de jurisprudentie ontwikkelde stappenplan. De rechtbank stelt dat dat de verdachte ook betrokken is geweest bij de handel in grondstoffen (de aankoop, import en overdracht) en de verkoop van het eindproduct. Het is een feit van algemene bekendheid dat bij dergelijke feiten in dit criminele milieu grote hoeveelheden cash geld omgaan. Dit doet zich ook in onderhavig geval voor. Het bezit van grote contante geldbedragen door privépersonen is hoogst ongebruikelijk vanwege het risico van onder meer brand en diefstal, waarbij het geldbedrag in dergelijke gevallen niet is verzekerd. De bankbiljetten zijn ook niet veilig en geordend opgeborgen, maar gebundeld met elastiek in pakketten bewaard op plekken die aan het zicht onttrokken zijn. Bovendien zijn coupures met een hoge waarde (€ 200,- en € 500,-), waarvan in dit geval sprake is, in veel gevallen uitgesloten van het regulier betalingsverkeer in Europa. Verdachte heeft daarnaast nog eens tussen 12 maart 2020 en 3 februari 2023 grote bedragen cryptovaluta ontvangen en betaald, terwijl grotendeels niet duidelijk is geworden naar/van wie en waarom de betalingen zijn verricht.
Er is onderzoek gedaan naar de financiële situatie van de familieleden van verdachte, alsmede naar de inkomens- en vermogenspositie van verdachte zelf. Verdachte en zijn familie hebben geen (bekend) toereikend legaal inkomen dat het voorhanden hebben van voormeld contant geldbedrag en de ontvangsten en betalingen via cryptocurrency zouden kunnen rechtvaardigen.
De rechtbank is op basis van het vorenstaande van oordeel dat de aangedragen feiten en omstandigheden zodanig van aard zijn dat er zonder meer sprake is van een vermoeden van witwassen. De financiële situatie van verdachte (en zijn familie) kunnen niet verklaren dat er de beschikking is over een contant vermogen van € 617.170,- en een bedrag aan cryptovaluta van € 9.961.937,-. Onder deze omstandigheden mag van verdachte een verklaring worden verlangd over de herkomst van deze geldbedragen.
De rechtbank legt voor het medeplegen van voorbereidingshandelingen ex. artikel 10a van de Opiumwet en gewoontewitwassen een gevangenisstraf op van vijf jaar en een geldboete van € 50.000,-.
Vrijspraak voor gewoontewitwassen door reseller EncroChat-telefoons
Op 12 november 2024 heeft de Rechtbank een verdachte vrijgesproken (ECLI:NL:RBROT:2024:11353) van gewoontewitwassen van geld dat is verdiend met de handel in Encrochat-telefoons.
De officier van justitie verweet de verdachte dat hij een gewoonte heeft gemaakt van het witwassen van bijna twee miljoen euro, door dat geld te verwerven, voorhanden te hebben, over te dragen, om te zetten en/of daarvan gebruik te maken. Volgens de officier van justitie heeft de verdachte samen met zijn broer en een medeverdachte het in de tenlastelegging genoemde geld verdiend met handel in Encrochat-telefoons. Encrochat wordt hier beschreven als een communicatiedienst met als belangrijkste doel om de geheimhouding van de communicatie en de gebruikers te garanderen. De Encrochat-telefoons worden wereldwijd aangeboden en geleverd door zogenoemde ‘resellers’. De officier van justitie acht bewezen dat de verdachte zo’n reseller is geweest. Bewezen zou kunnen worden ‘dat het geld waarmee de telefoons zijn gekocht misdaadgeld is en dat de verdachte dit heeft witgewassen door dat geld als betaling voor de telefoons te accepteren, dit te herinvesteren en voor privé-uitgaven te gebruiken’.
Dat bewijs is volgens de officier van justitie enerzijds gebaseerd op het feit van algemene bekendheid dat de klanten van de verdachte criminelen zijn die hun geld met misdaad verdienen. Voor zover er telefoons zijn gekocht met geld dat niet uit misdaad afkomstig is, gaat dit om zulke kleine hoeveelheden dat dit door vermenging met misdaadgeld ook wordt witgewassen. Anderzijds of misschien in het verlengde daarvan kan witwassen volgens de officier van justitie worden bewezen omdat het niet anders kan zijn dan dat het geld uit misdrijf afkomstig is. Daarvan is volgens vaste jurisprudentie van de Hoge Raad sprake als de feiten en omstandigheden waaronder de telefoons werden verkocht een vermoeden rechtvaardigen dat het niet anders kan zijn dan dat het geld uit enig misdrijf afkomstig is, terwijl de verdachte geen concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring heeft gegeven dat het geld niet van misdrijf afkomstig is. Die feiten en omstandigheden zijn hier aanwezig. De verdachte heeft ook geen concrete, verifieerbare en min of meer aannemelijke verklaring over een legale herkomst gegeven, waardoor de politie daar ook geen onderzoek naar heeft kunnen doen. De rechtbanken Den Haag en Rotterdam hebben eerder in min of meer vergelijkbare zaken op grond van overeenkomstige redeneringen witwassen bewezen verklaard, waarbij de officier van justitie in het bijzonder heeft gewezen op de Ennetcomzaak (rechtbank Rotterdam, 21 september 2021, ECLI:NL:RBROT:2021:9085), die ging over Ennetcom, een vergelijkbare aanbieder als Encrochat.
De rechtbank oordeelt echter anders. De rechtbank merkt op dat het tenlastegelegde bedrag is verdiend met de verkoop van de cryptotelefoons. Het gaat dus uitdrukkelijk niet om geld dat de verdachte zelf met een eigen handel in Encrochat-telefoons zou hebben witgewassen.
Anders dan de officier van justitie heeft gesteld, is niet wettig en overtuigend bewezen dat de kopers van de telefoons hebben betaald met geld dat van misdaad afkomstig is. Wel heeft de rechtbank bewezen geacht dat de medeverdachte een groot deel van het in de tenlastelegging genoemde geld heeft witgewassen en daarvan een gewoonte gemaakt door structureel geen aangifte te doen van en belasting af te dragen over omzet en verdiensten met de Encrochat-telefoons. Er is alleen geen bewijs dat de verdachte de belastingmisdrijven die als verwervingsdelict ten grondslag liggen aan het gewoontewitwassen heeft medegepleegd. Er is ook geen bewijs dat de verdachte het geld dat de medeverdachte zelf heeft verworven door geen belasting af te dragen tezamen en in vereniging met de medeverdachte voorhanden heeft gehad, heeft overgedragen, heeft omgezet of daarvan gebruik heeft gemaakt.
De rechtbank spreekt de verdachte vrij van het ten laste gelegde feit.
Veroordeling voor simswapping en “andere cyberfeiten”
Op 25 november 2024 veroordeelde (ECLI:NL:RBNNE:2024:4600) de rechtbank Noord-Nederland een verdachte voor onder andere simswapping en “andere cyberfeiten”. De politie beschrijft simswapping als het overnemen van de simkaart van mobiele telefoon. Slachtoffers hebben dan geen toegang meer tot het netwerk en iemand kan zich daarmee voordoen als iemand anders. Het slachtoffers is ook vaak de toegang kwijt tot de accounts waarvoor met sms een tweestapsverificatie is ingesteld. De uitspraak zelf vind ik niet zo helder. Dit nieuwsbericht is bijvoorbeeld duidelijker. De samenvatting van de zaak op basis van deze twee bronnen is als volgt.
De verdachte heeft in deze zaak onrechtmatig ingelogd op het netwerk van een dealer van T-Mobile. Op deze manier konden via het klantensysteem van T-Mobile zogenaamde simswaps worden uitgevoerd met als doel om telefoonnummers van klanten van T-Mobile over te nemen om daarmee te frauderen.
Daarnaast heeft de verdachte in de ‘My T-Mobile-accounts’ van particulieren ingebroken. Ook hierna konden simswaps worden uitgevoerd met als doel om telefoonnummers van klanten van T-Mobile over te nemen en vervolgens met deze telefoonnummers te frauderen. Dat heeft verdachte ook gedaan en onder andere – grote hoeveelheden cryptovaluta (zoals Bitcoin en Ethereum) heeft weggenomen.
Tot slot heeft verdachte zich beziggehouden met het versturen van phishing smsjes en een “sms-bom” naar 25.000 nummers uit naam van de Belastingdienst en de Rabobank, waarna soms ook telefonisch contact plaatsvond. In die gevallen heeft verdachte zich samen met een ander voorgedaan als medewerker van de Belastingdienst, waarna slachtoffers grote bedragen afhandig werden gemaakt. De verdachte verstuurde bijvoorbeeld in een phishing-sms dat zij een belastingschuld hadden en dat er beslag gelegd zou worden als zij niet op een betaallink klikten. Hierbij deed de verdachte zich voor als de medewerker van een bedrijf.
De rechtbank vindt het extra kwalijk dat de verdachte reeds eerder voor soortgelijke cyberfeiten is veroordeeld en in een proeftijd liep. Dit heeft hem er niet van weerhouden om direct na zijn vrijlating uit de gevangenis in maart 2023 door te gaan met computervredebreuk, phishing, diefstal en oplichting. Net als de officier van justitie en de reclassering ziet de rechtbank een groot recidivegevaar. De rechtbank houdt hiermee in de straf rekening mee en veroordeeld de verdachte tot 42 maanden gevangenisstraf en een geldboete van ongeveer 8000 euro.
Veroordeling voor phishing creditcardgegevens
Op 9 september 2024 veroordeelde (ECLI:NL:RBNHO:2024:11020) de rechtbank Noord-Holland een verdachte voor oplichting en computervredebreuk. In de zaak komt de modus-operandi van de dader en het proces van digitale opsporing helder naar voren.
In de zaak komt de modus-operandi van de dader en het proces van digitale opsporing helder naar voren. De uitspraak is pas later gepubliceerd.
In deze zaak gaat het over phishing van creditcardgegevens. In de woorden van de rechtbank is phishing een vorm van oplichting via het internet waarbij het slachtoffer wordt verleid om bepaalde, veelal financiële, gegevens te delen. De link in de phishing e-mail leidde in dit geval naar een zogenaamd ‘phishing panel’. Dat is een website die is vormgegeven alsof het de website van de creditcard uitgever is. Op die website wordt de bezoeker gevraagd om gegevens in te voeren zoals rekeningnummer, pasnummer, geboortedatum, creditcardnummer en cvc-code.
De beheerder van het phishing panel kan met de ingevoerde gegevens, nadat de creditcard uitgever de zogenaamde 2FA-code (een twee factor authenticatiecode) heeft verstrekt, vervolgens de controle krijgen over de creditcards en daarmee betalingen te doen. Het doel hiervan is zoveel mogelijk (creditcard) gegevens van mensen te achterhalen om vervolgens deze gegevens te kunnen misbruiken voor eigen financieel gewin.
In de onderhavige zaak werden de aangevers verleidt zich via een hyperlink te identificeren om hun creditcard te kunnen deblokkeren. Nadat aangevers hun (persoons)gegevens hadden ingevoerd op de phishing website, werden deze gegevens direct, door middel van een bot, doorgestuurd naar onder meer de Telegramkanalen. Op het moment dat de gephishte gegevens werden ontvangen, werden via de betreffende Telegram-app pushmeldingen gestuurd naar de telefoon van de phisher, zodat die direct aan de slag kon met deze gegevens. De phisher kon vervolgens de rekeningen van aangevers koppelen aan de ICS-app op zijn eigen apparaat, waarna hij online aankopen kon betalen met de creditcards van de aangevers. Op die manier zijn er meerdere bedragen afgeschreven van de rekeningen van aangevers.
In het onderzoek zijn door de politie (persoons)gegevens van meerdere cardhouders van ICS aangetroffen. Deze cardhouders bleken vergelijkbare phishing e-mails te hebben ontvangen. Naar aanleiding hiervan heeft ICS, namens haar klanten, eveneens aangifte gedaan.
Uit het onderzoek naar de phishing websites blijkt dat gebruik is gemaakt van twee verschillende phishing websites. Deze phishing websites worden gehost door een Nederlandse hosting partij, genaamd Serverion B.V. Uit informatie van Serverion volgt dat de betalingen voor het hosten van de phishing websites zijn gedaan met bitcoins. De bitcoin wallet waarmee de betalingen zijn gedaan is in rechtstreeks verband te brengen met een wallet bij Binance, die op naam van de verdachte staat en waaraan het telefoonnummer van de verdachte is gekoppeld. Bovendien heeft de verdachte verklaard dat hij de gebruiker is van het e-mailadres.
Verder bleek uit nader onderzoek dat de back-end van de phishing websites stelselmatig werd bezocht door het IP-adres. Dit IP-adres blijkt te zijn gekoppeld aan het woonadres van de verdachte. Ook het telefoonnummer van de verdachte straalt zendmasten aan in de buurt van dat woonadres van de verdachte op de momenten dat de phishing websites vanaf dat dat IP-adres worden benaderd. Uit onderzoek blijkt verder dat dit IP-adres de phishing websites niet meer heeft benaderd na de aanhouding van de verdachte op 30 januari 2024. Bij de verdachte zijn meerdere telefoons in beslag genomen. De verdachte heeft verklaard hiervan de gebruiker te zijn. Uit onderzoek naar deze toestellen is gebleken dat hierop de aanmaak van onder meer de Telegram bots zijn terug te vinden. De verdachte heeft verklaard dat hij toegang had tot deze groepen en dat hij ook een aantal maal de gephiste gegevens heeft gebruikt om aankopen mee te doen.
De rechtbank overweegt dat de verdachte e-mails heeft verstuurd aan vele e-mailadressen, waarin stond dat de ontvangers zich online moesten identificeren om hun creditcard te kunnen deblokkeren. Met de gephishte gegevens heeft de verdachte zichzelf via de ICS-app toegang verschaft tot de creditcards van de slachtoffers, en daarmee vervolgens online aankopen gedaan. De verdachte heeft technische hulpmiddelen voorhanden gehad om daarmee computerfraudedelicten te plegen. De verdachte is bovendien het systeem van ICS wederrechtelijk binnengedrongen nadat hij de (persoons)gegevens van de slachtoffers middels phishing had ontvangen. Daarnaast heeft de verdachte een vuurwapen, te weten een gasvuurwapen in de vorm van een revolver, voorhanden gehad.
Gelet op de ernst van de feiten heeft de rechtbank bij de strafoplegging ook oog voor het afschrikwekkende effect dat daarvan uit moet gaan. Naar het oordeel van de rechtbank kan dan ook niet worden volstaan met een andere straf dan met een gevangenisstraf voor de duur van 30 maanden, met aftrek van de tijd die de verdachte in verzekering en voorlopige hechtenis heeft doorgebracht, waarvan 6 maanden voorwaardelijk met een proeftijd van drie jaren. Ten slotte moet hij een schadevergoeding van € 36.722,70 aan International Card Services B.V. betalen.
Bron: een met WordPress AI gegenereerde afbeelding
Veroordeling voor leiding geven aan een criminele organisatie met cryptocommunicatiedienst (IronChat)
Op 12 september 2024 heeft de rechtbank Gelderland een 52-jarige man veroordeeld (ECLI:NL:RBGEL:2024:6732) voor het leiding geven aan een criminele organisatie die onder andere tot oogmerk had het aanbieden van een cryptocommuncatiedienst aan andere criminele organisaties en het witwassen van het geld dat hiermee werd verdiend. Volgens dit bericht van Tweakers.net gaat het hier om ‘IronPhone’-cryptotelefoons en de bijbehorende ‘IronChat’-berichtendienst. De hoofdverdachte kreeg een gevangenisstraf van 4,5 jaar opgelegd.
Drie verdachten
De zaak draait om drie verdachten die allemaal een rol hadden in het bedrijf dat een applicatie verkocht waarmee mensen versleuteld met elkaar konden communiceren. De verdachte in de onderhavige uitspraak was de eigenaar van het bedrijf en “deed alles”: “de verkoop, inkoop, klanten en het programmeren”. Bovendien was verdachte de leidinggevende binnen het bedrijf. Medeverdachte 1 installeerde software op telefoons en laptops. Verder deed hij het accountbeheer, behandelde hij ‘support’ vragen, hielp hij klanten in de showroom, deed de verkoop en leverde hij telefoons en laptops af bij klanten. Later hield hij zich ook bezig met de financiële boekhouding. Medeverdachte 2 was in loondienst als operationeel security manager. Hij verrichtte verschillende werkzaamheden waaronder support en het ontwikkelen en installeren van software.
Werking IronPhone en IronChat
In de uitspraak staan in r.o. 2.1.4-2.1.6 interessante details over de cryptotelefoons. Om gebruik te maken van de communicatiemethode diende men een abonnement af te sluiten. Op een prijslijst die beschikbaar is uit de kopie van de server van het bedrijf staan de volgende kosten voor een abonnement:
Telefoon (model Wileyfox Swift2) met als kosten voor een abonnement: per zes maanden € 800,- voor Europa en € 1000,- voor wereldwijd
Telefoon (model Samsung S8) met als kosten voor een abonnement: per zes maanden € 1.500,- voor Europa en € 1.750,- voor wereldwijd;
Laptop (model HP Folio 9470m) met als kosten voor een abonnement: € 2.250,- per jaar.
Bij een aantal telefoons die zijn onderzocht in het kader van andere strafrechtelijke onderzoeken is opgevallen dat de telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Een getuige heeft verklaard dat de camera’s en microfoons werden verwijderd uit de telefoons wanneer verdachte dat wilde. Volgens de bewijsstukken gebeurde ongeveer in de helft van de gevallen.
Encryptiemethode
In de gebruiksaanwijzing van ‘communicatiemethode 2’ (uit 2015), staat omschreven dat gebruik wordt gemaakt van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. In de gebruikersaanwijzing worden de volgende voordelen opgesomd van het gebruik van OTR ten opzichte van andere “veilige communicatie”:
[communicatiemethode 2] laat geen digitale handtekeningen achter in berichten waardoor het achteraf niet valt te bewijzen dat er communicatie heeft plaatsgevonden;
communicatiemethode 2] werkt alleen als beide contacten online zijn, er wordt niets van berichten op servers opgeslagen. (…);
Gesprekken via [communicatiemethode 2] vallen achteraf niet meer te ontsleutelen, ook niet als de datalijnen getapt worden. (…);
[communicatiemethode 2] beschikt over een wis & sluit functie waarbij alle berichten direct worden gewist en encryptiesleutels direct komen te vervallen;
[communicatiemethode 2] heeft een PANIC modus waarbij u met één druk op de knop uw gehele [communicatiemethode 3] wist en ontoegankelijk maakt.
Overige functionaliteiten
Daarnaast is het mogelijk om de inhoud van een chat op beide telefoons helemaal te verwijderen door een codewoord in te voeren en te versturen naar degene waarvan men wil dat de inhoud van die chat verdwijnt. Men voert dan in: “CRASHME!34”.
Ook staat in een proces-verbaal dat de communicatie-app voor de buitenwereld er uitziet als een medische app. Sommige landen verplichten bij de douane het wachtwoord van telefoons te verstrekken, maar medische gegevens mogen dan niet worden ingezien.
Oordeel rechtbank
De rechtbank stelt op basis van bovenstaande bewijsmiddelen vast dat de communicatiemethode en de applicatie waren ingericht met het doel om de via deze telefoon of applicatie gevoerde communicatie vertrouwelijk te houden. De rechtbank leidt dit met name af uit de voordelen die in de gebruiksaanwijzing worden genoemd, de panic button en de ‘crash me’-functie, waarmee met één druk op de knop de inhoud van de telefoon kon worden gewist.
Daarnaast leidt de rechtbank uit het bovenstaande af dat de anonimiteit van de gebruikers een belangrijk uitgangspunt was. Zo werden bij de verkoop van de telefoons, telefoonapplicaties met bijbehorende abonnementen en laptops geen namen of adresgegevens genoteerd, maar enkel een random naam. Verder is uit de bankgegevens gebleken dat ongeveer 90% van alle bijschrijvingen contante stortingen waren (met een totaalbedrag van bijschrijvingen aan contante stortingen (via een geldautomaat) voor een periode van bijna drie jaar € 2.668.260,00 bedraagt. Zelfs toen de bank meldde dat het doen van dergelijke ongebruikelijke transacties onacceptabel was en ertoe kon leiden dat de relatie tussen de bank en het bedrijf kon worden beëindigd, ging het bedrijf niet anders handelen.
Verloop opsporingsonderzoek
Over het opsporingsonderzoek met de naam ‘Goliath’ overweegt de rechtbank dat in de periode van 3 oktober 2018 tot en met 2 november 2018 de communicatieapplicatie is geïntercepteerd. Tijdens deze interceptiefase is 24/7 chatverkeer onderschept, gelezen, geduid, veredeld en geanalyseerd. Er is binnen onderzoek Goliath gewerkt met, onder andere, zoekwoorden (topics). Dit waren zoekwoorden die te relateren zijn aan diverse vormen van criminaliteit. Voorbeelden van dergelijke woorden zijn: ‘drugs’, ‘coke’, ‘slapen’, ‘pipa’s’, ‘AK’ of ‘wapens’. Deze topics waren beschikbaar in diverse talen. Als er in chatberichten woorden voorkwamen die op deze topiclijsten stonden, werden alle chatberichten van de conversatie zichtbaar in de chatmodule. Gedurende de interceptieperiode is niet vastgesteld dat anderen, waaronder politici, artiesten en de gewone man met bijvoorbeeld een geheime relatie, gebruik hebben gemaakt van de communicatiemethode, zoals de verdediging stelde.
Uit de bewijsmiddelen blijkt volgens de rechtbank gebleken dat de klantenkring van het bedrijf voor in ieder geval een zeer groot deel uit personen bestond die zich bezig hielden met strafbare feiten en dat verdachte en zijn medeverdachten hier wetenschap van hadden. De rechtbank onderbouwt dit uit tapgesprekken en chatgesprekken. De rechtbank is van oordeel dat sprake is van een nauwe en bewuste samenwerking tussen de verdachten met betrekking tot het wissen van accounts.
Sprake van begunstiging
Vervolgens beantwoord de rechtbank de vraag of sprake van het delict begunstiging en gaat daarvoor na of de verdachten voorwerpen waarop of waarmee een misdrijf is gepleegd hebben vernietigd, weggemaakt, verborgen of aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om het te bedekken of de nasporing of vervolging te beletten of te bemoeilijken. Uit de voornoemde bewijsmiddelen blijkt volgens de rechtbank dat in ieder geval drie keer een verzoek is gedaan om een account te wissen, nadat de gebruiker was aangehouden.
Hieruit volgt naar het oordeel van de rechtbank dat de verzoeken zijn gedaan om te voorkomen dat de politie belastende informatie op de inbeslaggenomen telefoon zou aantreffen. Een van de verzoekers is later aangehouden en veroordeeld voor een Opiumwetfeit. Uit de aangehaalde chatberichten blijkt dat er bij het verzoek om een account te wissen altijd haast was gemoeid. Gelet op het voorgaande, de inhoud van de chatgesprekken, in onderlinge samenhang bezien met de onder paragraaf 2.2 genoemde feiten en omstandigheden, is de rechtbank van oordeel dat verdachte zich schuldig heeft gemaakt aan begunstiging.
Deelname aan een criminele organisatie
Ook stelt de rechtbank vast dat de verdachte schuldig is aan deelneming aan een criminele organisatie. De rechtbank stelt voorop dat van ‘deelneming’ aan een organisatie als bedoeld in artikel 140 Sr slechts dan sprake kan zijn, als de verdachte behoort tot het samenwerkingsverband en een aandeel heeft in gedragingen dan wel gedragingen ondersteunt die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in dat artikel bedoelde oogmerk. Het is hierbij niet vereist dat de verdachte wetenschap heeft van één of meer concrete misdrijven die door de organisatie worden beoogd. Onder deelneming wordt mede begrepen het verlenen van geldelijke of andere stoffelijke steun ten behoeve van het samenwerkingsverband (art. 140 lid 4 Sr oud).
De rechtbank stelt allereerst vast dat enkele personen een criminele organisatie vormden met als oogmerk het uitvoeren van hard- en softdrugs en hennepteelt. Verder volgt uit de bovenstaande bewijsmiddelen dat verdachte veelvuldig contact had met de leider van deze organisatie. De rechtbank is van oordeel dat de verdachte heeft deelgenomen aan een organisatie door de leden van deze organisatie te voorzien van de applicatie en dat verdachte wist dat sprake was van een organisatie die als oogmerk had misdrijven te plegen.
Schuldig aan begunstiging, witwassen en valsheid in geschrifte
Daarnaast zag het oogmerk van de criminele organisatie op begunstiging, witwassen en valsheid in geschrifte. Zoals volgt uit paragraaf 2.3 beschikten de communicatiemethoden over de mogelijkheid om binnen een aantal klikken de inhoud van een telefoon of chats te verwijderen. Ook bood het bedrijf een dienst aan waarbij op verzoek accounts konden worden gewist. Uit het feit dat de organisatie deze dienst aanbood, en (vrijwel) het gehele klantbestand van het bedrijf bestond uit personen die zich bezighielden met criminele activiteiten, is voor de rechtbank gebleken dat het oogmerk van het samenwerkingsverband gericht was op begunstiging door chats, accounts of de gehele inhoud van een telefoon te verwijderen met als doel om de nasporing of vervolging te beletten of te bemoeilijken.
Oordeel rechtbank
Het oogmerk van de organisatie was daarnaast gericht op het gewoontewitwassen. Omdat (vrijwel) het gehele klantbestand van het bedrijf bestond uit personen die zich bezighielden met criminele activiteiten, kan het niet anders dan dat de inkomsten van het bedrijf in ieder geval gedeeltelijk afkomstig waren uit de criminele activiteiten van die criminele klanten en dus afkomstig uit misdrijf. Verdachte en zijn medeverdachten moeten dat hebben geweten. Door de vele transacties die plaatsvonden over een lange periode was sprake van gewoontewitwassen en had de organisatie daar dus het oogmerk op. Daarnaast hebben verdachte en zijn medeverdachten zich schuldig gemaakt aan eenvoudig witwassen, zijnde de opbrengsten van de verkoop van hun producten. In de periode van 1 januari 2017 tot en met 2 november 2018 heeft de verdachte meerdere geldbedragen van in totaal € 1.211.906,08 verworven en voorhanden heeft gehad, terwijl hij en zijn medeverdachten wisten dat deze geldbedragen – onmiddellijk – uit enig (eigen) misdrijf afkomstig waren. Daarmee komt de rechtbank tot een bewezenverklaring van eenvoudig witwassen in de zin van artikel 420bis.1 Sr.
Ten slotte zag het oogmerk van de organisatie op het plegen van valsheid in geschrifte (paragraaf 2.4). Om inkomsten te verklaren werden nadat bedragen op de bankrekening waren bijgeschreven facturen valselijk opgemaakt, waarmee de bedrijfsadministratie werd aangepast. De instructies die werden gegeven aan de medewerkers zorgden voor een bedrijfscultuur waarbinnen het normaal werd om valselijk stukken op te maken.
Gevangenisstraf voor bezit en verspreiden grote hoeveelheid persoonsgegevens
Op 26 september 2024 heeft de rechtbank Gelderland een verdachte veroordeeld (ECLI:NL:RBGEL:2024:6909) voor het verspreiden van een grote hoeveelheid persoonsgegevens (‘leads’) en witwassen van cryptogeld. Ook Arnoud Engelfriet besteedde in een blog aandacht voor de zaak. De zaak is alleen wel ernstiger dan daarin wordt voorgesteld. Het gaat namelijk niet over gegevens van 5000 personen, maar over gegevens van miljoenen personen.
De rechtbank legt in de bewijsoverwegingen uit dat een opsporingsambtenaar in het kader van een pseudokoop met de verdachte contact heeft gelegd via Telegram. Vervolgens kocht de verbalisant 5.000 ‘targetleads’ van voor een bedrag van € 50,- in bitcoins. Na de betaling ontving de verbalisant via Telegram een bestand met de leads. In dit bestand stonden persoonsgegevens die onder andere bestonden uit: telefoonnummer, mogelijk Facebook ID, voornaam, achternaam, geslacht, woonplaats, werkgever en relatiestatus. De Telegramgebruiker plaatste bovendien meerdere berichten over de verkoop van leads in de openbare Telegramgroep met de (weinig verhullende naam) ‘FraudeHandel’.
Indicatie aangetroffen persoonsgegevens
Na identificatie van de verdachte zijn enkele gegevensdragers in beslag genomen. Ter indicatie van de hoeveelheid aangetroffen persoonsgegevens volgt hieronder een opsomming van de aangetroffen bestanden:
een bestand met daarin een lijst van 667.816 credentials – e-mailadres en wachtwoord (plain text);
een bestand met daarin een lijst van 448.209 credentials – e-mailadres en wachtwoord (plain text);
een map ‘damipora.lt’, met daarin een Excel-bestand met profielgegevens. In dit bestand stond een lijst met 223.852 leads — voor- en achternaam, nationaliteit, geboortedatum, religie, opleiding, burgerlijke staat, uiterlijke kenmerken;
een map genaamd ‘Facebook Leak’. In deze map staan 105 items gerangschikt op land. Het lijkt hier te gaan om de Facebook datalek uit 2019, waarin de gegevens van 533 miljoen Facebookgebruikers aanwezig zijn. Gegevens bevatten o.a. telefoonnummer, naam, geslacht, woonplaats, e-mailadres, geboortedatum;
een map met een Excel-bestand, met daarin een lijst met 243.764 leads — geslacht, naam, adres, telefoonnummer, geboortedatum, bankrekeningnummer, e-mail;
een map met een txt-bestand met de naam ‘Dub_22’, met daarin een lijst met 22.075.941 credentials – e-mailadres en wachtwoord (plaintext);
een map met een txt-bestand met de naam ‘LuckyMillions BE fix’, met daarin een lijst met 243.766 leads — geslacht, naam, adres, telefoonnummer, e-mailadres;
Witwassen
Uit de bewijsmiddelen blijkt verder dat tussen 3 februari 2021 en 20 januari 2022 diverse coins zijn gestort op het Binance-account van de verdachte met een totale waarde van US$ 30.107,50 op het moment van de transacties. Ook hebben de verdachte en medeverdachte dagelijks contact over het verkopen van leads. Ten slotte is het interessant om te lezen dat:
“aan het Binance-account op naam van verdachte was een debitcard gekoppeld. In totaal zijn er 177 succesvolle transacties geweest met een totaalbedrag van € 14.387,58, waarvan € 8.070,00 contant is opgenomen. De overige betalingen zijn onder andere gedaan aan Apple, Coolblue, Louis Vuitton, Makro, Bijenkorf en Bol.com”.
De rechtbank overweegt dat de verdachte van 22 april 2021 tot en met 12 januari 2022 bitcoins van zijn Binance-rekening uitgegeven, dan wel contant opgenomen. Hiermee is sprake van een vermoeden van witwassen. Van de verdachte mag worden verlangd dat hij een verklaring geeft voor de herkomst van deze bitcoins, maar die beriep zich op zijn zwijgrecht. Er is geen enkel concreet aanknopingspunt dat de bitcoins (deels) afkomstig zijn van legale activiteiten. De rechtbank acht daarom bewezen dat de bitcoins afkomstig zijn uit een misdrijf en de verdachte heeft zich door het gebruikmaken en pinnen ervan schuldig gemaakt aan het witwassen van cryptovaluta (in totaal € 14.387,58).
Oordeel rechtbank
De rechtbank stelt verder vast de verdachte een enorme hoeveelheid leads op zijn harde schijf had staan. Het is een feit van algemene bekendheid dat persoonsgegevens veelal worden gebruikt bij oplichting en diefstal, zoals Whatsapp- of bankhelpdeskfraude. Daarbij blijkt onder feit 1 dat verdachte geld kreeg voor de verkoop van leads. Het kan dan ook niet anders dan dat verdachte wist dat de persoonsgegevens bestemd zijn voor het plegen van oplichtingen en diefstallen.
Het is daarom niet verassend dat de verdacht wordt veroordeeld voor het medeplegen van het verkopen, overdragen, verspreiden en voorhanden hebben waarvan hij weet dat deze bestemd voor het plegen van misdrijven zoals diefstal en oplichting (zie o.a. art. 234 en 326 Sr). Ook wordt de verdachte veroordeeld voor (gewoonte)witwassen. Het is overigens opvallend dat het delict ‘heling van gegevens’ (artikel 139g Sr) niet ten laste is gelegd.
Met betrekking tot de straf overweegt de rechtbank dat ‘blijkt uit het strafblad van verdachte dat hij op 18 januari 2021 al eerder is veroordeeld voor verschillende cyberfeiten’ en de verdachte ‘kansen heeft gehad en flink is gewaarschuwd, in de vorm van een forse voorwaardelijke gevangenisstraf in België’. Hij krijgt een gevangenisstraf van 12 maanden opgelegd.
De uitspraak vind ik interessant vanwege de beschrijving van de modus operandi van de daders. Deze zijn als volgt beschreven:
Stap 1: het verwerven telefoonnummers van potentiële slachtoffers, onder meer door sekswerkers te betalen voor het verstrekken van contactgegevens van hun klanten en door nepprofielen en -advertenties op sekssites aan te maken. De verdachte heeft ter zitting erkend dat hij de advertentie op Kinky.nl op die manier heeft gebruikt. Eén van de aangevers is via deze site slachtoffer geworden van afdreiging.
Stap 2: het massaal versturen van een eerste, steeds nagenoeg identiek WhatsApp-bericht waarin staat dat het potentiële slachtoffer contact heeft gehad met één of meerdere sekswerkers die hun diensten aanbieden op de websites Kinky.nl en/of Sexjobs.nl.
Stap 3: als er contact is met een potentieel slachtoffer, worden steeds gelijkluidende vervolgberichten gestuurd, waarin wordt gedreigd met het openbaar maken van het gedrag van een slachtoffer tegenover mensen in zijn directe omgeving.
Stap 4: de slachtoffers worden onder druk gezet om, meestal via betaalverzoeken, geld over te maken naar bankrekeningen van derden.
De rechtbank acht, gelet op de verklaring van de verdachte, in samenhang bezien met de overige bewijsmiddelen (zoals opgenomen in de bijlage bij het vonnis), bewezen dat de verdachte zich schuldig heeft gemaakt aan het medeplegen van de onder 3 en 4 ten laste gelegde afdreigingen.
De rechtbank overweegt dat de personen die op dreigberichten zijn ingegaan geïntimideerd, beschaamd en in paniek raakten, bang voor openbaarmaking van hun gevoelige privéinformatie. De verdachte heeft, samen met zijn mededaders, de slachtoffers in deze zaak onder voornoemde dreiging bewogen tot het betalen van uiteenlopende geldbedragen, ter hoogte van in totaal ruim € 100.000,-.
De rechtbank overweegt verder dat naast de financiële schade die de verdachte en zijn mededaders door hun handelen hebben aangericht, zij de slachtoffers emotioneel zwaar hebben belast. Uit de aangiftes en de ingediende vorderingen tot schadevergoeding volgt dat bij veel slachtoffers sprake was van paniekgevoelens, stress, isolement en hulpeloosheid. De verdachte is eerder voor soortgelijke feiten onherroepelijk veroordeeld. Alles afwegende is de rechtbank van oordeel dat een gevangenisstraf voor de duur van 30 maanden moet worden opgelegd, met aftrek van voorarrest. Ook moet de verdachte verschillende schadevergoedingen betalen.
Bron: dit is een met AI gegenereerde afbeelding via WordPress)
Hoge Raad arrest over bitcoins en witwassen
De Hoge Raad heeft op 25 juni 2024 een arrest (ECLI:NL:HR:2024:887) gewezen in de zaak IJsberg. Deze zaak gaat over het witwassen van bitcoins, voorbereidingshandelingen voor handel in harddrugs en bedreiging. Zie ook Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104, Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen (zaak IJsberg).
Het Hof Den Haag had geoordeeld dat het enkele omzetten van bitcoins naar contant geld niet kan worden beschouwd als verbergen of verhullen van herkomst of vindplaats van bitcoins. Daarbij heeft hof betrokken dat er onvoldoende overtuigend bewijs is dat verdachte de herkomst of vindplaats van bitcoins heeft ‘willen’ verhullen of verbergen. Hierin ligt als volgens de Hoge Raad in het oordeel van het hof besloten dat het oogmerk van de verdachte bepalend is voor beantwoording van vraag of verdachte herkomst van bitcoins heeft verborgen of verhuld. In het licht van de onder r.o. 3.5 weergegeven wetsgeschiedenis – waarin de “(subjectieve) geestesgesteldheid van de dader” op dit punt als van “ondergeschikt belang” is aangeduid omdat het gaat om de objectieve strekking en het effect van de gedragingen – getuigt dat oordeel van een te beperkte uitleg van het bestanddeel ‘verbergt of verhult’. Door de verdachte vrij te spreken van het onder 1, onderdeel b, tenlastegelegde heeft het hof hem dus vrijgesproken van iets anders dan was tenlastegelegd. Het hof heeft daarmee de grondslag van de tenlastelegging verlaten. Daarom slaagt het cassatiemiddel van het OM, vernietigt het deels de uitspraak van het hof, en wijst de zaak terug naar het Gerechtshof Den Haag.
Ten slotte staat in een ander arrest (HR 25 juni 2024, ECLI:NL:HR:2024:890) over de zaak IJsberg de vraag centraal of bitcoins kunnen worden aangemerkt als ‘voorwerpen’ in de zin van art. 420bis Sr en 420quater Sr. De Hoge Raad overweegt in r.o. 3.4 dat het Hof Den Haag terecht heeft overwogen dat bitcoins kunnen worden aangemerkt als ‘voorwerpen’. Lezenswaardig is ook de conclusie van AG Aben (ECLI:NL:PHR:2024:217) over o.a. het kwalificeren van bitcoins als voorwerp. Hij bespreekt daarbij of onstoffelijke entiteiten onder het wettelijke begrip ‘voorwerp’ kunnen worden gebracht. Hij noemt dat in fysisch opzicht virtuele valuta géén stoffelijke entiteiten zijn; zij dragen in dat opzicht de kenmerken van ‘(computer)gegevens’ als bedoeld in artikel 80 quinquies Sr omdat zij in de kern slechts uit ‘bits en bytes’ bestaan. In essentie gaat het bij gegevens als bedoeld in deze betekenisbepaling om informatie die besloten ligt in code en die (ook) door computers kan worden verwerkt, dus om software. Virtuele valuta onderscheiden zich echter van het meer generieke begrip ‘(computer)gegevens’ doordat virtuele valuta zich in de menselijke belevingswereld – anders dan computercodes en pincodes – wel degelijk voordoen als stoffelijke entiteiten, namelijk als geld in een gedaante die zich nauwelijks onderscheidt van giraal geld, dat evenmin stoffelijk is. Omtrent giraal geld overwoog de Hoge Raad dat een redelijke uitleg van het begrip ‘goed’ – vanwege “de functie van giraal geld in het maatschappelijk verkeer” – meebrengt dat het vatbaar is voor ‘toe-eigening’ als bedoeld in artikel 321 Sr. Dit betreft – gelijk het elektriciteitsarrest uit 1921 – een evident geval van een functionele wetsuitleg.
De AG noemt dat ook in meer recente strafzaken de Hoge Raad zich conformeerde aan een functionele uitleg van het wettelijke begrip ‘goed’ (wat betreft entiteiten die zich daarvoor leenden (belminuten, telefoontikken). Hij concludeert dat computergegevens in beginsel geen ‘voorwerp’ zijn, maar zo wel kunnen worden aangemerkt als (i) de onderwerpelijke entiteit uniek en individualiseerbaar is en in het economische verkeer een reële waarde vertegenwoordigt, (ii) die entiteit voor menselijke beheersing vatbaar is en de eigenaar ervan daarover de feitelijke en exclusieve heerschappij toekomt, en (iii) die entiteit overdraagbaar is, (dus) van eigenaar kan wisselen en van de eigenaar kan worden afgenomen, als gevolg waarvan de (oorspronkelijke) eigenaar de beschikkingsmacht erover verliest. Kortom, ook bitcoins kunnen als voorwerp worden gekwalificeerd.
Veroordeling voor drugshandel en witwassen via DreamMarket
Het Hof Den Haag heeft op 31 juli 2024 een interessant arrest (ECLI:NL:GHDHA:2023:2925) gewezen over witwassen van bitcoins die waren verkregen via (o.a.) de darknet market DreamMarket.
In de bewijsoverwegingen staat o.a. dat bijna 200.000 euro is overgeboekt naar bitcoinadressen en gebruik werd gemaakt van twee Visa prepaid debetkaarten. Beide kaarten zijn geladen doordat de bitcoins zijn omgezet in respectievelijk dollars en euro’s. Op de tweede kaart hebben bijvoorbeeld in de maanden oktober 2016 tot en met november 2017 stortingen plaatsgevonden tot een totaal geldbedrag van € 313.344,77. Dit, terwijl de laatst bekende loongegevens van de verdachte dateren uit 2011 (een UWV-uitkering van € 3.802). Het hof stelt vast dat er geen direct brondelict valt aan te wijzen voor de herkomst van de eerdergenoemde bitcoins.
Het hof is op grond van het voorgaande van oordeel dat sprake is van een gerechtvaardigd vermoeden van witwassen. De verdachte beschikte vanaf 2012 niet over een legale inkomensbron, terwijl hij wel kon beschikken over een groot aantal bitcoins. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat die bitcoins niet van misdrijf afkomstig zijn. Deze heeft de verdachte niet verschaft. Het hof acht daarom het delict witwassen bewezen. Gelet op de omvang van de geldbedragen en de frequentie van het omzetten van bitcoins in euro’s en dollars in de periode van oktober 2016 tot en met november 2017 acht het hof ook bewezen dat sprake is van gewoontewitwassen van bitcoins met een geldwaarde van € 613.260,92.
Ten aanzien van de drugshandel is het interessant om te lezen dat tijdens een doorzoeking op een tablet verschillende applicaties aangetroffen, waaronder Protonmail (een beveiligde e-mailservice), Sealnote (voor het maken van notities die middels een encryptieversleuteling zijn beveiligd), Orbot en Orfox (TOR-apps voor het browsen via het TOR-netwerk), CryptMax (een encryptie-app waarmee tekst kan worden versleuteld), een aplicatie waarmee bitcoins kunnen worden ontvangen en verzonden, ChatOnion (waarmee versleutelde berichten kunnen worden verstuurd via het TOR-netwerk) en iPrint&Label (waarmee adreslabels kunnen worden afgedrukt). Op de apparaten is de volgende veelzeggende inhoud van een advertentietekst in een docx-bestand teruggevonden:
“1G MDMA 84% pure the best quality direct from Holland full escrow MDMA crystals AAA+++
**INTRO OFFER 25% FREE EXTRA After ordening youre shipment wil be processed and shipped within 24 hours As you can see we are new on the dark Web, but we have many years off experience in the drugs trading business. We make everything ourself for 20 years now. That’s why we can provide the best products and quality for a fear price. Every time we make a new stock, we check the quality in the lab. We dont mix anything!!! We only sell pure quality.
EVERY ORDER IS VACUUMSEALT 3 TIL 6 TIMES, AND IS MAKE DOGFREE!!!
We ship from Germany
Sold by red-diamond – 424 sold since May 1, 2016 Vendor Level 5 Trust Level 4”
Tevens werden inloggegevens gevonden voor darkweb markten, zoals Valhalla, Hansa Market en Dream Market en notitieblaadjes met drugsgerelateerde aantekeningen. Het bewijs voor drugshandel was verder ook afkomstig van uit taps, verkeersgegevens, observaties, en aangetroffen pillen verpakkingsmateriaal na een doorzoeking. Na een observatie in Duitsland bleek, na de leging van brievenbussen, bovendien dat 36 enveloppen waren gepost met XTC-tabletten, MDMA, amfetamine en LSD-tabletten. Gezien het bovenstaande zal het niet tot een verassing komen dat het hof tot het oordeel komt dat wettig en overtuigend is bewezen dat de verdachte zich in de periode van 1 juli 2016 tot en met 13 oktober 2017 ook schuldig heeft gemaakt aan drugshandel.
In de strafmotivering weegt het hof in strafmatigende zin mee dat de verdachte in de periode waarin hij in voorlopige hechtenis zat zijn zus en moeder heeft verloren en dat hij niet de gelegenheid heeft gehad afscheid van hen te nemen. Daarnaast heeft het hof rekening gehouden met de ouderdom van de bewezenverklaarde feiten. Ook is de redelijke termijn in hoger beroep is overschreden. Dit in ogenschouw nemende wordt een gevangenisstraf opgelegd van 54 maanden.
Veroordeling voor ‘grootschalige cybercriminaliteit’
Op 23 juli 2024 veroordeelde (ECLI:NL:RBOVE:2024:3924) de rechtbank Overijssel een verdachte voor een gevangenisstraf van drie jaar (waarvan één jaar voorwaardelijk) en het betalen van een schadevergoeding aan benadeelden, vanwege het medeplegen van computervredebreuk, het voorhanden hebben van een technisch hulpmiddel om (o.a.) computervredebreuk te plegen, diefstal van cryptovaluta en het bezit van een vuurwapen en munitie.
De applicatie die de verdachte beheerde is door rechtbank in het vonnis omschreven als een ‘Zwitsers zakmes voor cybercriminaliteit’. Zie ook dit NOS-artikel over de zaak. Het bevat verschillende functionaliteiten waarmee strafbare feiten kunnen worden gepleegd. Deze functionaliteiten omvatten het gehele proces van het versturen van phishingmails tot het uitbuiten van de hiermee verkregen gegevens:
Phishing. De eerste functionaliteit is het versturen van phishingmails. De phishingmail kan worden opgesteld door het opgeven van een onderwerp en afzendergegevens binnen een vooraf ontwikkelde e-mailtemplate. Die template lijkt op een echte e-mail van een partij, zoals Yourhosting , Coinmerce of Bitvavo. Als ontvangers van het bericht kan een lijst met e-mailadressen worden ingevoerd. Met een druk op de knop kan de e-mail met daarin een link naar een valse, maar niet van echt te onderscheiden website naar een groot aantal ontvangers worden gestuurd. Buitgemaakte gegevens kunnen vanuit deze valse website naar [applicatie] worden teruggestuurd;
Hacking. De tweede functionaliteit is het testen en verrijken van de verkregen persoonsgegevens. Omdat veel mensen hetzelfde wachtwoord voor meerdere sites en applicaties gebruiken, kan geautomatiseerd worden getest of met het verkregen wachtwoord ook kan worden ingelogd op de mailbox van een verkregen e-mailadres;
Accountovername. [applicatie] bevat ook een functionaliteit om werkende e-mail-wachtwoord-combinaties geautomatiseerd met persoonsgegevens te verrijken. Gepoogd kan worden bij bijvoorbeeld een webshop in te loggen en eventueel verkregen persoonsgegevens uit dit webshopaccount in [applicatie] op te slaan. Daarnaast kan worden gekeken of het e-mailadres aan een account bij Riverty (voorheen AfterPay ) is gekoppeld, om na te gaan of een account geschikt is voor het plaatsen van bestellingen met betaling achteraf. Met toegang tot een mailbox kan ook worden geprobeerd toegang te verkrijgen tot cryptoaccounts om vanuit hier crypto weg te nemen;
Misbruik persoonsgegevens. Als een door phishing verkregen wachtwoord werkt en gebruik kan worden gemaakt van Riverty, kan op naam van door phishing verkregen persoonsgegevens een bestelling bij een webshop worden geplaatst. Door in de mailbox van het betreffende e-mailaccount regels in te stellen, merkt de accounthouder daar niets van. Inkomende e-mailberichten met bestel- en track and trace-gegevens, die trefwoorden bevatten zoals PostNL, Riverty en Zalando, kunnen direct naar een tijdelijke mailbox van de dader(s) worden doorgestuurd en buiten het zicht van de accounthouder worden gehouden, omdat e-mailberichten direct worden verplaatst naar de map verwijderde items. [applicatie] bevat een functionaliteit om periodiek op basis van het trackingnummer en de postcode van het afleveradres de status van een pakket bij een bezorgdienst op te vragen. Op deze manier kan in een overzicht gemakkelijk de status van een besteld pakket worden gevolgd;
Identiteitsfraude. De afgevangen e-mails van bezorgdiensten bevatten naast een trackingcode ook een link om het afleveradres te wijzigen. Als hier gebruik van wordt gemaakt, kan de dader een pakket bijvoorbeeld bij een pakketpunt/-automaat laten bezorgen en het pakket daar afhalen. Voor het afhalen van een pakket is soms identificatie vereist. [applicatie] bevat een functionaliteit waarmee een afbeelding van identiteitsbewijs kan worden gemodificeerd. Hier kunnen illegaal verkregen afbeeldingen van identiteitsbewijzen voor worden misbruikt. Op basis van deze identiteitsbewijzen kan een nieuwe afbeelding worden gegenereerd, met een zelfgekozen naam en een willekeurig documentnummer. Deze nieuwe afbeelding kan vervolgens bij het ophalen van een pakket op de mobiele telefoon worden getoond.
De verdachte bekend op de zitting dat hij de applicatie met alle functionaliteiten zelf heeft gebouwd en op verschillende servers heeft gehost. Dit maakt dat verdachte het technisch hulpmiddel heeft overgedragen, verspreid, ter beschikking gesteld en voorhanden heeft gehad. De huur van de applicatie-servers van de verdachte is met cryptovaluta uit wallets van anderen betaald. Hiertoe zijn cryptoaccounts gehackt. Ook heeft verdachte met zijn applicatie-server afbeeldingen van identiteitsbewijzen van anderen ter beschikking gesteld en voorhanden gehad, met het doel om daarmee valse digitale ID-bewijzen te maken.
De verdachte heeft het gebruikt om phishingmails naar 105.000 klanten van een platform te verzenden. In de e-mails zat een link om de klanten te verleiden op die link te klikken en persoonsgegevens als gebruikersnaam en wachtwoord op een ogenschijnlijk betrouwbare online omgeving van een platform achter te laten. De rechtbank stelt vast dat de verdachte gebruik heeft gemaakt van de bij phishingaanvallen buitgemaakte gegevens door hiermee op e-mailaccounts van andere personen geautomatiseerd in te loggen, regels in te stellen en op hun naam bestellingen bij webshops te doen. Bovendien heeft verdachte ook zelf bestellingen opgehaald.
In de strafmotivering overweegt de rechtbank nog dat de verdachte jong is en een bepaalde spanning en het krijgen van (online) waardering lijken gepaard te zijn gegaan met het plegen van de verschillende vormen van cybercriminaliteit. De rechtbank hoopt dat een deels voorwaardelijke straf – als stok achter de deur – verdachte ervan weerhoudt in de toekomst wederom strafbare feiten te plegen en zijn talenten op een andere wijze in te zetten.
Gebruik Exclu data in ‘Suske en Wiske’-zaak
De rechtbank Gelderland biedt in een uitspraak van 4 juli 2024 (ECLI:NL:RBGEL:2024:4183) in de zogenoemde ‘Suske en Wiske’-zaak (vernoemd naar de nicknames van de (drugsbende)leiders op Exclu en EncroChat), meer details over de Exclu-operatie en interessante overwegingen met betrekking tot de betrouwbaarheid van het bewijs dat in Duitsland is vergaard.
In de uitspraak is te lezen dat op 22 juli 2022 een rechter-commissaris een machtiging verleent voor het voor het tappen van Exclu-verkeer van de Duitse server. Deze machtiging is daarna zes keer verlengd. Aangezien de server van Exclu zich in Duitsland bevond, is voor het onderscheppen van het berichtenverkeer en het verkrijgen van de sleutels de server op verzoek van Nederland gehackt door de Duitse bevoegde autoriteiten.
Voorwaarden machtiging rc
Bij beschikking van 25 augustus 2022 heeft de rechter-commissaris een machtiging verleend voor het hacken van de server van Exclu in Duitsland (in de zin van art. 126o Sv). Deze is daarna vijf keer verlengd. De beschikkingen van de rechter-commissaris en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten. In de beschikking van 25 augustus 2022 werden aan de verleende machtiging de voorwaarden verbonden dat de vergaarde informatie slechts mag worden doorzocht op vast te leggen zoeksleutels terwijl de met die zoeksleutels geselecteerde informatie eerst aan de rechter-commissaris moet worden voorgelegd om de inhoud, omvang en relatie tot de vermoedelijk gepleegde of te plegen strafbare feiten te controleren en pas daarna aan het openbaar ministerie of de politie ten behoeve van (opsporings-)onderzoeken beschikbaar mag komen. Bovendien is aan de machtiging de absolute randvoorwaarde verbonden dat de vergaarde informatiecommunicatie slechts ter beschikking mag worden gesteld voor onderzoeken naar strafbare feiten als bedoeld in artikel 67 Sv eerste lid in georganiseerd verband gepleegd of beraamd en die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerde verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde maken, dan wel misdrijven met een terroristisch oogmerk.
In de onderhavige zaak voert de verdediging aan dat het bewijs onrechtmatig zou zijn verkregen en onbetrouwbaar bewijs zou opleveren. Gelet op het arrest van de Hoge Raad van 13 juni 2023 (ECLI:NL:HR:2023:913) gaat de rechtbank na of de rechter-commissaris in redelijkheid tot zijn beslissingen tot tappen respectievelijk hacken van de Exclu-server heeft kunnen komen. Daarbij heeft de rechtbank te waarborgen dat gebruik van de aldus verkregen Exclu-data zich verhoudt met het recht op een eerlijk proces, in die zin dat de rechtbank de “overall fairness” van de strafzaak tegen verdachte moet waarborgen. De rechtbank is van oordeel dat de rechter-commissaris onder de gegeven feiten en omstandigheden in redelijkheid tot de aldus afgegeven machtigingen met bijbehorende verlengingen heeft kunnen komen.
Betrouwbaarheid bewijs
Met betrekking tot de betrouwbaarheid van het bewijs overweegt de rechtbank het volgende. Gelet op het arrest van de Hoge Raad van 13 juni 2023 mag de rechtbank voor de Exclu-data in de strafzaak tegen verdachte, die door tappen van berichten en hacken van de server onder verantwoordelijkheid van de Duitse autoriteiten is verkregen, behoudens concrete aanwijzingen voor het tegendeel, van de betrouwbaarheid van het onder verantwoordelijkheid van de Duitse autoriteiten verrichte onderzoek, uitgaan.
Zowel over de Encrochat-data als de Exclu-data is een NFI rapportage opgemaakt waarin de deskundige verklaart dat er geen redenen gevonden zijn om te twijfelen aan de correctheid van de berichten uit het technisch hulpmiddel, behalve de fout met de omgedraaide bellende en gebelde tegenpartij. De datasets zijn weliswaar niet volledig in die zin dat zij niet alle ooit met de accounts verzonden of ontvangen berichten bevatten, maar dat kan verklaard worden door de automatische wisfunctie en/of het handmatig wissen van berichten. De gegevens van Exclu zijn voor 99,6 % volledig, waarbij het verschil met 100% komt door het ontbreken van interceptie-gegevens op 3 januari 2023 tussen 13:16 en 14:51 uur. Een aantal berichten is dubbel veiliggesteld, maar deze discrepantie heeft geen invloed op het gebruik van de gegevens verkregen uit de interceptie van de Exclu-berichten dienst. De verdediging draagt onvoldoende concrete aanwijzingen aan over de onbetrouwbaarheid van de Exclu-data. Het enkele noemen van een verkeerde toeschrijving van een bericht aan een bepaald account in een ander onderzoek volstaat daartoe volgens de rechtbank niet.
Bewijsoverwegingen omtrent ANOM in grote drugszaak
In een uitgebreide en lezenswaardige uitspraak (ECLI:NL:RBOBR:2024:3404) gaat de rechtbank Oost-Brabant in op bewijsverweren inzake de toegang en het gebruik van bewijs uit cryptophone-operaties. In dit geval meer specifiek de ANOM-operatie.
Op 24 november 2020 werd naar aanleiding van informatie die werd verkregen van het Team Criminele Inlichtingen een opsporingsonderzoek gestart onder de naam Baraga. Onderzoek Baraga richtte zich op de productie van en/of handel in (grondstoffen voor) synthetische drugs en deelneming aan een criminele organisatie. Gedurende het onderzoek kreeg het onderzoeksteam de beschikking over onderzoeksgegevens uit andere, al dan niet lopende, opsporingsonderzoeken en over data van meerdere cryptocommunicatiediensten (EncroChat, SkyECC en ANØM). Daarnaast werd gebruik gemaakt van diverse opsporingsmethoden zoals telefoontaps, observaties en het opnemen van vertrouwelijke communicatie (OVC) op meerdere locaties dan wel in voertuigen. Tijdens het onderzoek is hierdoor een groot aantal andere personen in beeld gekomen, die of samen met (een van) de hoofdverdachten, danwel in (diens) opdracht of in wisselende samenstelling(en) met een ander of anderen strafbare feiten hebben gepleegd. De diverse verdachten konden worden gekoppeld aan acht drugslaboratoria in Nederland en België waar synthetische drugs konden worden geproduceerd (al dan niet in opbouw, actief of voormalig) en aan opslaglocaties die hier verband mee hielden.
Het onderzoek heeft tot de verdenking geleid dat verschillende misdrijven zijn gepleegd. Kort weergegeven zijn de volgende feiten ten laste gelegd (het verschilt per verdachte welke feiten precies ten laste zijn gelegd):
het (mede)plegen van voorbereidingshandelingen voor de productie van (met)amfetamine en/of MDMA als bedoeld in artikel 10a van de Opiumwet;
het (mede)plegen van de productie van (met)amfetamine en MDMA op verschillende locaties;
deelname aan een organisatie die als oogmerk heeft het plegen van misdrijven bedoeld in artikel 10 lid 3 en/of lid 4 en/of lid 5 van de Opiumwet, al dan niet als leider;
het voorhanden hebben van (een of meerdere) vuurwapen(s).
Door de verdediging is verweer gevoerd tegen de bruikbaarheid van alle in het dossier beschikbare cryptodata, te weten de data van de diensten EncroChat, SkyECC en ANØM. De verdediging wijst daarbij op het arrest van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) van 30 april 2024 (ECLI:EU:C:2024:372) en benadrukt dat uit dit arrest blijkt dat het Unierecht in Nederland onjuist is toegepast. Ook zou de Hoge Raad in de beslissing van 13 juni 2023 (ECLI:NL:HR:2023:913) onjuist hebben overwogen dat de EOB-richtlijn beperkt is tot de inzet van bevoegdheden als genoemd in de artikelen 126m en 126t Sv. Ook is onjuist overwogen dat hetgeen is bepaald in artikel 31 van de EOB-richtlijn niet is geschreven ter bescherming van specifieke belangen van de af te tappen of afgetapte persoon, maar verband houdt met de soevereiniteit van de betrokken landen.
Kortgezegd overweegt de rechtbank dat Nederland in de ANOM operatie niet het desbetreffende ‘derde land’ is geweest die de interceptie heeft gefaciliteerd voor de Amerikanen van communicatie uit de cryptotelefoons. Het derde land is een land in de Europese Unie en heeft conform haar eigen juridische processen een gerechtelijke machtiging heeft verkregen voor het kopiëren van ANØM-berichten op de in dat land staande server. Volgens de rechtbank is hier slechts sprake geweest van technische bijstand door het derde EU-land. De rechtbank wijst hierbij ook naar hetgeen de Hoge Raad in het arrest van 13 juni 2023 onder 6.10 heeft overwogen. Daar is sprake van een vergelijkbare duiding van bijstand. Omdat het ook hier enkel ging om technische bijstand is van een situatie als bedoeld in artikel 31 van de EOB-richtlijn geen sprake geweest. Het derde land was niet de intercepterende staat. De rechtbank overweegt ook dat niet is gebleken van een rol van de Nederlandse opsporingsautoriteiten bij de uitvoering van de interceptie. Dat de Nederlandse opsporingsautoriteiten op enig moment betrokken raakten is ten gevolge van het feit dat Nederland in de top vijf gebruikende landen bleek te staan niet verbazingwekkend. Dat maakt echter niet dat sprake is van een opsporingsonderzoek onder verantwoordelijkheid van de Nederlandse autoriteiten. Alle onderzoekswensen van de verdediging worden daarom afgewezen.
Uit het voorgaande volgt dat ook waar het de bestreden rechtmatigheid van de verkrijging van bewijsmateriaal van ANØM-toestellen betreft, het niet aan de Nederlandse strafrechter is om het onderzoek in het buitenland te toetsen. De rechtbank verwerpt de verweren voor zover zij zien op de (on)rechtmatigheid van de verkrijging van bewijsmateriaal afkomstig van ANØM-toestellen. Voor de volledigheid merkt de rechtbank op dat door de verdediging in de diverse zaken de betrouwbaarheid van het verkregen bewijsmateriaal niet is bestreden. De rechtbank neemt tot uitgangspunt dat het onderzoek in de Verenigde Staten zo is uitgevoerd dat de resultaten betrouwbaar zijn en ziet, ook ambtshalve, geen aanwijzingen voor het tegendeel die aanleiding geven tot nader onderzoek van de betrouwbaarheid.
Voor de verwerking van bewijsmateriaal afkomstig van ANØM-toestellen is geen machtiging van de rechter-commissaris gevorderd. De rechtbank is in het licht van het door de Hoge Raad in zijn prejudiciële beslissing uiteengezette kader van oordeel dat daartoe ook in het geval van ANØM-gegevens geen noodzaak bestond. Het Openbaar Ministerie heeft zelf wel kaders gesteld voor en voorwaarden verbonden aan de (verdere) verwerking van dit bewijsmateriaal. Ook hier is door de verdediging niet aangevoerd dat in strijd met de door het Openbaar Ministerie gestelde voorwaarden is gehandeld en de rechtbank ziet ook geen aanwijzingen voor dat oordeel.
Ten slotte overweegt de rechtbank dat de Richtlijnen 2002/58/EG en 2016/680, noch de jurisprudentie van het EHRM die ziet op bulkinterceptie van data en mogelijke strijd daarvan met artikel 8 EVRM op de verwerking van het onderhavige bewijsmateriaal van toepassing, omdat dit voortvloeit uit de prejudiciële beslissing van de Hoge Raad. Evenmin is het kader dat voortvloeit uit het Prokuratuur-arrest van toepassing, nu ook die rechtspraak immers niet ziet op de interceptie van gegevens in het kader van een strafrechtelijk onderzoek naar de aanbieders van diensten waarmee berichten versleuteld kunnen worden verzonden, en naar de gebruikers van die diensten, in verband met de in relatie tot het aanbieden en het gebruik gerezen verdenkingen. Het voorgaande brengt de rechtbank tot het oordeel dat het bewijsmateriaal afkomstig van de toestellen rechtmatig is verwerkt.
Op de fascinerende combinatie van bewijsmiddelen wordt verder in dit bericht niet ingegaan. De verdachte in de onderhavige zaak wordt veroordeeld tot negen jaar gevangenisstraf, met aftrek van voorarrest.
Op 14 mei 2024 heeft de rechtbank Oost-Brabant heeft een 31-jarige Rus (woonachtig in Amstelveen), veroordeeld (ECLI:NL:RBOBR:2024:2069) tot een gevangenisstraf van vijf jaar en vier maanden. De verdachte ontwikkelde samen met twee anderen ‘Tornado Cash’.
Door bestudering van de GitHub pagina van Tornado Cash ontstond het vermoeden dat verdachte één van de ontwikkelaars van Tornado Cash is. Het strafrechtelijk onderzoek richtte zich vervolgens ook op verdachte.
Werking Tornado Cash
Tornado Cash hanteert zogenaamde pools, een soort verzamelbakjes, aldus de rechtbank, die stortingen van cryptovaluta vanaf het ene walletadres accepteren en opnames via een ander walletadres mogelijk maken. Tornado Cash verbreekt op deze manier het transactiespoor op de blockchain. Hierdoor verhult of verbergt Tornado Cash wat de oorspronkelijke herkomst van de opgenomen cryptovaluta is, wie de daadwerkelijke eigenaar is en waar de cryptovaluta naartoe wordt verplaatst. Doordat Tornado Cash het mogelijk maakt volledig anoniem stortingen in en opnames uit Tornado Cash te doen, wordt eveneens verborgen of verhuld wie de feitelijke beschikkingsmacht over de cryptovaluta heeft, oftewel wie de cryptovaluta voorhanden heeft. Het praktisch onmogelijk om Tornado Cash offline te halen.
In de uitspraak wordt de werking van het systeem ook verder in detail uitgelegd. Zo heeft een gebruiker van Tornado Cash bij het doen van een opname uit Tornado Cash de keus om die opname zelf te doen, via een eigen gekozen walletadres, of om die opname door een zogenaamde ‘relayer’ te laten doen. Relayers zijn extern beheerde systemen, servers, die uit naam van een gebruiker een transactie uitvoeren nadat zij daartoe een instructie hebben gekregen. Naar het oordeel van de rechtbank kan de verdachte niet worden beschouwd als een tussenpersoon zoals bedoeld in art. 54a Sr of een dienstverlener in de zin van art. 138g Sr.
1,2 miljard witgewassen
Volgens de rechtbank is er met Tornado Cash 535.809 ETH (Ether) witgewassen met een waarde van ongeveer 1.217.343.820 USD (1,2 miljard Amerikaanse dollar) (!!). Ether worden daarbij als voorwerpen gezien, zoals bedoeld in art. 420bis. Net als Bitcoins zijn Ether cryptovaluta, digitale geldeenheden, die een reële waarde in het economische verkeer vertegenwoordigen, die voor menselijke beheersing vatbaar zijn en die overdraagbaar zijn. De rechtbank overweegt dat deze cryptovaluta afkomstig zijn van 36 verschillende digitale diefstallen.
Het dieptepunt is de Axie Infinity hack, gepleegd door de Lazarus Group, waarbij 625 miljoen Amerikaanse dollar aan cryptovaluta is gestolen. Daarvan is volgens de rechtbank bijna 450 miljoen dollar in Tornado Cash gestort en witgewassen. Hieruit volgt dat de tenlastegelegde Ether afkomstig zijn van diefstal met een valse sleutel (artikel 311 Sr), al dan niet in samenhang met andere misdrijven. De tenlastegelegde Ether zijn daarmee afkomstig van concreet aanwijsbare misdrijven.
De rechtbank concludeert dat Tornado Cash witwashandelingen heeft uitgevoerd, namelijk het verhullen of verbergen van de herkomst en de verplaatsing van uit misdrijf afkomstige cryptovaluta, Ether, wie de rechthebbenden daarvan waren en wie deze daadwerkelijk voorhanden hebben (gehad). De verdediging heeft aangevoerd dat verdachte geen enkele invloed (meer) had op de autonoom werkende smart contracts van Tornado Cash. De verdediging plaatst de verdachte daarmee ‘als een willoze en onmachtige derde op afstand van de niet te stoppen witwashandelingen van Tornado Cash’.
Verdachte verantwoordelijk voor Tornado Cash en veroordeeld voor medeplegen witwassen
De rechtbank overweegt dat Tornado Cash functioneert zoals het door de verdachte en zijn medeoprichters is ontworpen en valt qua werking volledig onder hun verantwoordelijkheid. Als de verdachte mogelijkheden had willen hebben om op te kunnen treden tegen eventueel misbruik, dan had hij die moeten inbouwen. Dit deed hij echter niet. Tornado Cash werpt geen enkele drempel op voor de gebruiker die over crimineel vermogen beschikt en dit vermogen wil witwassen. De verdachte is daarom schuldig aan (gewoonte)witwassen.
De verdachte wordt zelfs schuldig bevonden aan het medeplegen van witwassen. Volgens de rechtbank dat sprake is geweest van een nauwe en bewuste samenwerking tussen verdachte en zijn mededaders die in de kern bestaat uit een gezamenlijke uitvoering. Die samenwerking heeft de gehele tenlastegelegde periode geduurd. Dat maakt dat verdachte en zijn mededaders gedurende de gehele tenlastegelegde periode als medeplegers van de tenlastegelegde witwashandelingen kunnen worden aangemerkt
De rechtbank stelt vast de verdachte wetenschap had van het feit dat in Tornado Cash grote hoeveelheden uit misdrijf afkomstige Ether werden gestort. Met andere woorden, hij was zich bewust van de aanmerkelijke kans daarop. Die aanmerkelijke kans strekte zich ook uit over de specifiek in de tenlastelegging genoemde Ether die afkomstig waren uit hacks. Volgens de rechtbank is het algemeen bekend dat een ‘cryptomixer’ of vergelijkbare diensten zoals Tornado Cash, gebruikt worden bij het witwassen van cryptovaluta. Daarbij was de verdachte actief in verschillende chatgroepen waarin werd gesproken over hacks waarbij Ether was gestolen en over het feit dat cryptovaluta met een criminele herkomst in Tornado Cash werden gestort.
Dit weerhield de verdachte er niet van om Tornado Cash te ontwikkelen en zonder begrenzing (bijvoorbeeld door het inbouwen van maatregelen) aan te bieden aan het publiek. Integendeel, hij ging tot zijn aanhouding door met het verder ontwikkelen en de uitrol van Tornado Cash, waarbij vrijwel elke vervolgstap de verhullende werking en de anonimiteit van de gebruikers versterkte. De verdachte nam het eenvoudige, onbegrensde, voorzienbare en evidente gebruik door criminelen op de koop toe.
To be continued..
De rechtbank vindt net als de officier van justitie een celstraf van 5 jaar en 4 maanden op zijn plaats. Daarnaast wordt een inbeslaggenomen Porsche en ongeveer 1,9 miljoen euro aan cryptovaluta verbeurdverklaard. Voor deze uitspraak is hoger beroep ingesteld.
Na een eerste lezing blijf ik het een ingewikkelde zaak vinden. Het is technisch lastig te begrijpen en ik moet ook verder nadenken over de juridische overwegingen omtrent Tornado Cash als tussenpersoon en de veroordeling voor medeplegen. We wachten eerst eens maar de zaak in hoger beroep af.
2. Veroordeling uitlokken tot hacken in CoronIT systeem
Op 27 mei 2024 is een verdachte veroordeeld (ECLI:NL:RBMNE:2024:3434) voor uitlokking van computervredebreuk (art. 47 lid 1 onderdeel 2 jo art. 138ab Sr) en het overnemen van niet-openbare gegevens uit een geautomatiseerd werk (art. 47 lid 1 onderdeel 2 jo art. 138c Sr). Zie eerder ook deze veroordeling in het jurisprudentieoverzicht van juni 2022.
500 euro voor set persoonsgegevens
De verdachte heeft zich hieraan schuldig door een ander een geldbedrag te beloven om screenshots te sturen van persoonsgegevens (telefoonnummers) die in het computersysteem van de GGD stonden. Persoon ‘A’ heeft ook daadwerkelijk tientallen screenshots met gegevens naar verdachte verstuurd. Het ging daarbij om weten 67 identificerende persoonsgegevens zoals naam, geboortedatum, burgerservicenummer (BSN), adres en telefoonnummer. Haar werd 500,00 euro geboden voor de gegevens.
Identificatie verdachte
Namens de GGD GHOR Nederland is aangifte gedaan, omdat een medewerker via Snapchat werd benaderd om persoonsgegevens uit het computersysteem van de GGD GHOR te delen. Zowel het Snapchataccount als het telefoonnummer waren herleidbaar tot verdachte. De gebruikersnaam van het snapchataccount was te koppelen aan een facebookaccount waarop een advertentie geplaatst werd voor een woningruil. Verdachte stond op dat moment op het adres van deze woning ingeschreven en er werd voor de advertentie gebruik gemaakt van het telefoonnummer van de moeder van verdachte. Tijdens de doorzoeking bij verdachte is een iPhone 6s gevonden in de bank waar hij kort daarvoor had gezeten. Aan deze iPhone 6s was in de periode dat de uitlokking werd gepleegd het telefoonnummer van de verdachte gekoppeld. Het Telegramaccount was ook actief op dit toestel en het toestel straalde in de relevante periode telecommasten aan in de buurt van het woonadres van verdachte. De rechtbank concludeert hieruit dat het verdachte was die in de tenlastegelegde periode gebruik maakte van het telefoonnummer en van het Snapchataccount, en dus degene is geweest die [A] heeft benaderd.
Computervredebreuk en overnemen niet-openbare gegevens
Met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht is aansluiting gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor de toegang tot specifieke onderdelen van het geautomatiseerde werk wordt overschreden, kan het wachtwoord (een sleutel), door het onbevoegd gebruik maken daarvan, een valse sleutel worden.
Ook heeft verdachte zich daarmee schuldig gemaakt aan uitlokking van het opzettelijk en wederrechtelijk voor zichzelf of een ander overnemen van niet-openbare gegevens als bedoeld in artikel 138c Wetboek van Strafrecht. Een dergelijk handelen is gericht tegen de onmiskenbare wil van de beheerder van het systeem en in strijd met het doel daarvan en tast de integriteit van het systeem aan. De uitlokking ziet enkel op het verkrijgen van telefoonnummers uit patiëntendossiers uit CoronIT. Dit impliceert volgens de rechtbank dat verdachte heeft uitgelokt tot het plegen van zowel computervredebreuk als het overnemen van niet openbare gegevens. De rechtbank is daarom van oordeel dat sprake is van eendaadse samenloop.
De verdachte veroordeelt de verdachte tot een taakstraf van 120 uur en een proeftijd van twee jaar.
3. Veroordeling bankhelpdeskfraude
Op 16 mei 2024 veroordeelde (ECLI:NL:RBNNE:2024:1893) de rechtbank Noord-Nederland een verdachte voor 34 maanden gevangenisstraf vanwege bankhelpdeskfraude, in de vorm van het (mede)plegen van oplichting (art. 326 Sr), diefstal met valse sleutels (art. 311) en het voorhanden hebben van leads (art. 139g Sr), en voor online handelsfraude (art. 326e Sr).
Werkwijze
De verdachte en medeverdachten hebben zich in telefoongesprekken met de slachtoffers voorgedaan als een bankmedewerker van de Rabobank en gezegd dat criminelen (in het buitenland) bezig waren geld van hun rekening te halen. Vervolgens hebben ze de slachtoffers overgehaald om hun geld over te boeken naar zogenaamd ‘veilige’ bankrekeningen. Vanaf deze bankrekeningen hebben de verdachte en medeverdachten het geld doorgestort naar verschillende platformen voor de handel in cryptovaluta (Coinbase en Litebit).
In de uitspraak staat gedetailleerd beschreven hoe de verdachten de slachtoffers ook zelf een cryptocurrency app lieten downloaden of account bij een cryptocurreny uitwisselingskantoor lieten openen om het geld over te laten maken. Vervolgens is het geld onder de daders verdeeld. De verdachte heeft zich daarnaast schuldig gemaakt aan vijf gevallen van Marktplaatsfraude.
Toepassing Smartphone-arrest bij verweer
Interessant is nog de overweging van de rechtbank over het onderzoek op de iPhone van de verdachte. In het onderhavige geval stelt de rechtbank vast dat er in de telefoons gericht onderzoek is gedaan naar specifieke zaaksinformatie, zoals leads, cryptovaluta, foto’s van bankpassen en identiteitsbewijzen en afbeeldingen en video’s die mogelijk verband houden met het plegen van vermogensfraude.
Naar het oordeel van de rechtbank kon daardoor echter wel een min of meer compleet beeld worden verkregen van bepaalde aspecten van het persoonlijke leven van de gebruiker van de telefoon. Tussenkomst van de officier van justitie of voorafgaande rechterlijke toetsing was dus vereist. De rechtbank is van oordeel dat hierbij volstaan kon worden met toestemming van de officier van justitie en dat, anders dan de verdediging heeft gesteld, géén sprake is van een situatie waarin een machtiging van de rechter- commissaris is vereist. Op voorhand was immers niet te voorzien dat sprake zou zijn van een zeer ingrijpende inbreuk op de persoonlijke levenssfeer (zoals bijvoorbeeld zeer gevoelige informatie over het privéleven van verdachte), en ook achteraf is dat niet gebleken. Daarmee is de inbreuk op de persoonlijke levenssfeer beperkt gebleven.
4. Waardering van bewijs uit SkyECC operatie
Op 28 mei 2024 heeft de rechtbank Rotterdam een bijzondere uitspraak (ECLI:NL:RBROT:2024:4916) gedaan in een (mega)zaak waar uitgebreid en helder wordt in gegaan op verweren over bewijs dat afkomstig is van SkyECC telefoons.
Verweer 1: Andere gebruiker Sky-ID?
De verdediging stelt zich ten eerste op het standpunt gesteld dat niet kan worden vastgesteld dat de verdachte de (enige) gebruiker is geweest van het Sky-ID [Sky-ID 1]. De zendmastgegevens leveren daarvoor geen sluitend bewijs op. Ook zijn er geen concrete aanwijzingen, zoals selfies, het noemen van verjaardagen, of andere specifieke berichten die duiden op het gebruik van het Sky-ID door de verdachte. De rechtbank overweegt vervolgens uitvoerig waarom dit wel gekoppeld kan worden. Uit een vergelijking van de metadata en de historische gegevens blijkt bijvoorbeeld dat het Sky-ID met het daarbij behorende IMEI-nummer [nummer 1] in de periode tussen december 2019 en januari 2021 het vaakst de zendmast aan de Rietdekkerweg te Rotterdam aanstraalt. Deze zendmast is gelegen in de wijk [naam wijk], waarin ook de woning van de verdachte aan het [adres 1] is gelegen. Ook kon de inhoud uit berichten geverifieerd worden met andere sporen die tijdens de doorzoeking zijn aangetroffen geverifieerd worden.
Verweer 2: Niet voldaan aan bewijsminimum (zelfde bron)?
De verdediging stelt dat niet is voldaan aan het bewijsminimum, omdat de verdenking enkel is gebaseerd op de inhoud van de SkyECC berichten en dit één bron betreft. De verdediging verwijst ten aanzien van dit verweer naar een uitspraak van de rechtbank Zeeland-West-Brabant van 13 september 2022 (ECLI:NL:RBZWB:2022:5151). De rechtbank overweegt dat ten aanzien van alle in het dossier aanwezig chatgesprekken via SkyECC niet worden gesproken van bewijs uit één bron. Er is immers sprake van verschillende, afzonderlijke chatgesprekken, gevoerd door verschillende personen of groepen, op verschillende momenten. Het feit dat deze gesprekken zijn gevoerd via hetzelfde communicatienetwerk (SkyECC), maakt niet dat zij ook alle afkomstig zijn uit één bron.
Bovendien is er in de onderhavige zaak, zoals blijkt uit de verdere inhoud van dit vonnis, op belangrijke onderdelen sprake van andere bewijsmiddelen die de inhoud van de chatberichten ondersteunen. Zo zijn er in twee zaaksdossiers daadwerkelijk verdovende middelen aangetroffen en onderzocht. Ook zijn er afbeeldingen verstuurd die de inhoud van de tekstberichten ondersteunen.
Verweer 3: Niet betrouwbaar vanwege ontbrekende berichten?
De verdediging stelt vraagtekens bij de betrouwbaarheid van de chatberichten die in deze zaak het belangrijkste bewijs vormen en verwijst daarvoor naar een rapport van het Nederlands Forensisch Instituut (hierna: NFI). Uit dit rapport blijkt dat 2,5% van de berichten niet wordt gezien door de software en dat van de ‘veiliggestelde’ berichten meer dan een kwart van de inhoud ontbreekt/onleesbaar is. Hierdoor ontstaat een gemankeerd beeld en is terughoudendheid geboden. Dit leidt er volgens de verdediging namelijk toe dat de context van de chats niet kan worden geduid.
De rechtbank overweegt hierover dat het feit dat niet alle data van het berichtenverkeer volledig is onderschept, er niet aan af doet dat mag worden uitgegaan van de juistheid en betrouwbaarheid van de wél verkregen data. Van de overige 97,5% (1546 berichten) is 73,7% succesvol ontcijferd. Verder beschrijft het NFI dat de Toolboxgegevens een correcte weergave van de chats en hun metadata zijn. Dat door de beperkte weergave van de data sprake zou zijn van niet betrouwbaar bewijs is niet onderbouwd met nadere, verifieerbare, informatie. Van de verdediging mag worden verwacht dat zij concrete feiten en omstandigheden naar voren brengt die de betrouwbaarheid van de data in twijfel kunnen stellen.
Bewijs voor invoer van cocaïne o.b.v. chatberichten en andere bewijsmiddelen
Op basis van versleutelde berichten die zijn verstuurd met de chatapplicatie SkyECC, in combinatie met observaties, onderzoek naar historische telecomgegevens en camerabeelden is de verdenking ontstaan dat de verdachte betrokken is geweest bij de voorbereiding van de invoer in Nederland van de partij verdovende middelen. Uit de (groeps)gesprekken, waaraan de verdachte actief heeft deelgenomen, blijkt dat hij ervan op de hoogte was dat de voorbereidingen die door hem en zijn medeverdachten werden getroffen betrekking hadden op een ‘klus’ die een grote waarde vertegenwoordigde. Uit die gesprekken bleek immers dat bij het bemachtigen van de inhoud van de container sprake was van een nauwe en bewuste samenwerking tussen een groot aantal betrokkenen, dat een uitgebreid plan werd gemaakt voor het uithalen van de lading, compleet met verschillende scenario’s en dat het gebruik van geweld, zo nodig met gebruik van vuurwapens, niet zou worden geschuwd. De rechtbank leidt uit de chatberichten, in onderlinge samenhang bezien, af dat, ook wanneer deze behoedzaamheid wordt betracht, onmiskenbaar over de invoer van cocaïne wordt gesproken.
Bewijs voor georganiseerd en crimineel samenwerkingsverband
Uit de bewijsmiddelen volgt ook dat van een georganiseerd en crimineel samenwerkingsverband sprake is geweest. Via SkyECC wordt er gedurende een aantal weken tussen de betrokkenen in diverse samenstellingen gecommuniceerd over routeinformatie, de status van de betreffende container en de transporteur die de container met een pincode moet ophalen van het haventerrein en hiervoor diverse handelingen moet verrichten, zoals het huren van een oplegger en het voormelden in Portbase. Ook wordt er gesproken over het betalen van betrokkenen en back-up-plannen (plannen b en c) voor het geval het plan van het ophalen van de container met de pincode (plan a) niet zal lukken. Voorts hebben er in dit kader diverse ontmoetingen plaatsgevonden tussen een aantal van de betrokkenen om de werkwijze met elkaar door te nemen. Nadat bekend is geworden dat de transporteur zich moet melden bij de politie wordt er gecommuniceerd over het wissen van zijn telefoon en tablet en het bieden van steun door het dragen van de advocaatkosten. Dit alles duidt op een mate van organisatie, structuur en samenwerking gericht op het plegen van Opiumwetmisdrijven. Kort gezegd heeft de verdachte zich samen met anderen schuldig gemaakt aan de invoer van twee verschillende cocaïnetransporten van in totaal meer dan 2.600 kilogram. Ook heeft hij voorbereidingshandelingen verricht gericht op de invoer van een partij van 665 kilogram cocaïne. De verdacht wordt veroordeeld tot 8,5 jaar gevangenisstraf.
Uitzondering voor overschrijding van redelijke termijn
Als laatste zegt de rechtbank nog iets interessants over de redelijke termijn. Als uitgangspunt heeft te gelden dat een behandeling ter terechtzitting dient te zijn afgerond met een eindvonnis binnen vierentwintig maanden. Van dit uitgangspunt kan worden afgeweken als sprake is van bijzondere omstandigheden. De rechtbank is van oordeel dat in deze zaak sprake is van bijzondere omstandigheden, welke zijn gelegen in het aantal verdachten (14 in totaal), de omvang van het politiedossier en de juridische complexiteit en onderzoekswensen in verband met de SkyECC problematiek. De rechtbank acht vanwege al deze bijzondere omstandigheden een redelijke termijn van drie jaren voor de behandeling van de zaken van alle verdachten in Bolero in dit geval gerechtvaardigd.
Nederlandse hacker veroordeeld voor afpersing en witwassen
Op 3 november 2023 heeft de rechtbank Rotterdam een Nederlandse hacker veroordeeld (ECLI:NL:RBAMS:2023:6967) voor een fikse gevangenisstraf van vier jaar (waarvan één jaar voorwaardelijk). De verdachte moet ook honderdduizenden euro’s aan schadevergoeding betalen. Hij heeft zich onder meer schuldig gemaakt aan computervredebreuk, afpersing, heling van niet-openbare gegevens, ransomware en het witwassen van een bedrag van meer dan een miljoen euro.
Door het verwijderen van allerlei gegevens (ook over de slachtoffers) is het vonnis minder goed leesbaar en blijft de impact van de zaak onduidelijk. Daarom volgt eerst een korte inleiding en daarna zoals gebruikelijk een samenvatting van het vonnis.
Inleiding
Het gaat in deze zaak om een Nederlandse hacker. Eerder verscheen op Follow the Money een artikel over de zaak (en een achtergrondverhaal over de hacker). Samen met anderen zou hij (ook door gebruik van ransomware) slachtoffers hebben gemaakt in onder meer de VS, Engeland, Letland, Nederland en Rusland.
RTL nieuws schreef ook een interessant artikel over het Nederlandse bedrijf Ticketcounter die slachtoffer was geworden. Alleen al bij Ticketcounter ging het om persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum. Gegevens van 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers werden aangeboden op hackersforum RaidForums (nu offline).
In het artikel worden ook andere slachtoffers genoemd, zoals de uitgever van seniorenblad Plus Magazine en de website PlusOnline, de cryptobeurs Litebit en de Hogeschool van Arnhem en Nijmegen (HAN) (deze gingen allen niet in op de afpersing). In een artikel op AD.nl wordt ook gesproken over een gezondheidsorganisatie en een internetforum voor prostitutieklanten die slachtoffer werden van afpersing.
Strafbare feiten
De verdachte heeft in de periode van 1 juli 2021 tot en met 23 januari 2023 een onder andere een gezondheidsorganisatie heeft afgeperst met ransomware (‘Tortilla-ransomware’). Dit betreft daarmee een de weinige veroordelingen voor het gebruik van ransomware in Nederland (zie verder het bericht over CoinVault op deze blog).
Daarnaast was hij in het bezit van software benodigd voor phishing en gestolen databases met gegevens van miljoenen mensen (7,3 miljoen mensen) die bij uitstek informatie bevatten die niet bedoeld was om openbaar te worden. De rechtbank ontslaat de verdachte van alle rechtsvervolging van door de verdachte zelf gehackte niet-openbare gegevens. Hoewel dit niet volgt uit de bewoordingen van artikel 139g Sr, kan volgens de rechtbank uit de parlementaire geschiedenis (Kamerstukken II 2015-2016, 34372, nr. 3, par. 4.1 en 4.2) worden afgeleid dat de wetgever het toepassingsbereik van dit artikel heeft willen beperken tot gegevens die uit een door een ander gepleegd misdrijf zijn verkregen. Ter voorkoming van automatisch dubbele strafbaarheid is het vaste jurisprudentie bij de heling van een goed als bedoeld in artikel 416 Sr dat de omstandigheid, dat iemand een helingshandeling begaat ten aanzien van een goed dat hij zelf door enig misdrijf heeft verkregen, aan zijn veroordeling wegens heling in de weg staat (zie bijvoorbeeld HR 30 oktober 2001, ECLI:NL:HR:2001:AD5149). Dit wordt ook wel de heler-steler-regel genoemd.
Witwassen
De verdachte heeft een bekennende verklaring afgelegd ten aanzien van het witwassen, maar niet ten aanzien van de hoogte van het bedrag. Volgens de officier van justitie is € 2.214.923,68 (!) in cryptovaluta witgewassen en € 46.405 in contanten. De rechtbank is van oordeel dat op grond van de bekennende verklaring van verdachte en de bewijsmiddelen kan worden bewezen dat verdachte een hoeveelheid cryptovaluta en een geldbedrag van € 46.510,- tezamen en in vereniging heeft witgewassen. Het contante geld is bij verdachte aangetroffen en hij heeft bekend dat hij dit bedrag heeft witgewassen. Verdachte heeft dit geld uit misdrijf ontvangen in cryptovaluta en deze valuta omgezet in contanten door het geld op te (laten) nemen. Ten aanzien van de cryptovaluta heeft verdachte bekend dat alle binnengekomen cryptovaluta uit misdrijf afkomstig is.
De rechtbank stelt vast dat de cryptovaluta uit eigen misdrijf van verdachte afkomstig is, al dan niet via deelneming aan strafbare feiten gepleegd door anderen. Door de cryptovaluta telkens om te zetten naar andere valuta (zoals Monero (JJO: dit is één van de weinige keren dat deze cryptovaluta in jurisprudentie wordt genoemd)) en deze te mixen via mixing services, heeft verdachte de herkomst en de vindplaats verhuld en heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta en/of het geldbedrag waren, en wie het geld voorhanden had. De rechtbank stelt ook vast de verdachte een cryptovaluta van € 1.024.666,35 heeft witgewassen uit afpersing dan wel afdreiging. De rechtbank stelt dat vast dat voor het overige bedrag (JJO: meer dan 1,2 miljoen euro (!)), op basis van de verklaringen van de verdachte, het voldoende aannemelijk is geworden dat de berekening van het Openbaar Ministerie dubbeltellingen bevat. De rechtbank kan daarom niet met voldoende mate van zekerheid vaststellen hoeveel cryptovaluta uit onbekende bron is witgewassen.
Strafmotivering
De rechtbank heeft in het voordeel van verdachte in de strafoplegging rekening gehouden met zijn persoonlijke omstandigheden, waaronder PTSS, zijn jonge leeftijd en zijn proceshouding. De verdachte heeft op den duur actief meegewerkt aan het onderzoek en een – grotendeels – bekennende verklaring afgelegd.
Alles afwegende vindt de rechtbank een gevangenisstraf van vier jaren passend. De rechtbank zal hiervan één jaar voorwaardelijk opleggen om verdachte ervan te weerhouden om in de toekomst strafbare feiten te plegen. De rechtbank verbindt aan het voorwaardelijk strafdeel de volgende bijzondere voorwaarden: een meldplicht bij de reclassering, dagbesteding, meewerken aan schuldhulpverlening en ambulante behandeling. De rechtbank ziet – gelet op de ernst van de feiten – aanleiding om aan het voorwaardelijk strafdeel een langere proeftijd te koppelen en legt een proeftijd van drie jaren op.
Moderator op een forum voor seksueel misbruik van minderjarigen veroordeeld
Op 4 oktober 2023 heeft de rechtbank Rotterdam een verdachte voor vijf jaar gevangenisstraf veroordeeld (ECLI:NL:RBROT:2023:10960) vanwege deelname aan een criminele organisatie, het bezit en verspreiding van een grote hoeveel kinderporno en het bezit en verspreiden van dierenporno.
De verdachte was actief op het online chatplatform ‘The Annex’. The Annex is een ‘hidden service’ website op het darkweb en alleen bereikbaar via het TOR-protocol. Op dit chatplatform verspreidde de verdachte kinderporno, bood hij dit aan en heeft hij zich daarnaast ook in zijn rol als ‘apprentice moderator’ ingespannen om de werking van die website te verbeteren en uit te breiden.
Criminele organisatie
De rechtbank stelt vast dat het platform The Annex werd gerund door een hiërarchisch ingerichte organisatie met een eigenaar, diverse administrators en (daaronder) moderators van verschillende rangen. Deze functionarissen werden alle tot de staf gerekend en zij namen online deel aan ‘staffmeetings’. Deze vergaderingen vonden regelmatig plaats met een steeds wisselende agenda. Tijdens deze meetings werden zaken besproken zoals de ontwikkeling van (het gebruik van) de site en de promotie daarvan, technische aspecten, maar ook regels waaraan gebruikers zich moesten houden.
Waar geregistreerde gebruikers toegang hadden tot de zogeheten ‘Annex Gateway’ en pas toegang konden krijgen tot specifieke chatrooms wanneer zij kinderporno deelden en deelnamen aan de conversatie binnen die chatomgeving, hadden de administrators en moderators meer rechten en privileges dan de geregistreerde gebruikers. Alleen zij hadden toegang tot bepaalde voor gebruikers afgeschermde gedeeltes van de sites. De hiervoor genoemde functies en rol-en taakverdeling geven blijk van een georganiseerd verband. Het spreken over en het aanbieden en verspreiden van kinderpornografisch beeldmateriaal is de kern van het bestaan van The Annex en daarmee is ook het oogmerk van de organisatie gegeven, aldus de rechtbank.
Strafmotivering
De rechtbank overweegt ook dat de verdachte een zeer grote hoeveelheid kinderporno gedownload. In totaal zijn er op de inbeslaggenomen gegevensdragers bij de verdachte 120.213 foto’s en 11.379 films/video’s aangetroffen die aan de criteria van kinderpornografisch materiaal voldeden, waarvan 98.215 foto’s makkelijk benaderbaar waren. Het ging om foto’s en video’s van ernstig seksueel misbruik van jonge kinderen. Gezien de ernst van de feiten en gelet op straffen die in vergelijkbare zaken zijn opgelegd zal een onvoorwaardelijke gevangenisstraf van langere duur worden opgelegd. In strafverzwarende zin wordt daarbij meegewogen de lange periode van de strafbare feiten alsmede de ernst en het veelal gewelddadige karakter van het kinderporno- en dierenpornografisch materiaal.
Het lekken van persoonsgegevens en medeplichtigheid bij een aanslag
De rechtbank Gelderland heeft op 6 november 2023 een verdachte veroordeeld (ECLI:NL:RBGEL:2023:6115) voor twee jaar gevangenisstraf vanwege computervredebreuk, het doorgeven van deze gegevens aan een ander en medeplichtigheid aan het medeplegen van de voorbereiding van opzettelijk een ontploffing teweegbrengen en brandstichting op een woning. Deze aanslag is voorkomen door vroegtijdig ingrijpen van de politie.
De verdachte was ‘senior klant contact specialist’ bij een verzekeraar en had daarmee toegang tot persoonlijke informatie van verzekerden en de Basis Registratie Personen (BRP). Gegevens uit deze systemen werden via Whatsapp met derden gedeeld. Deze gegevens zijn beide keren gebruikt voor (voorgenomen) aanslagen op woningen. Eén daarvan ziet op de afpersingszaak van een fruithandel (onderzoek ‘Panter’).
Crystal methlabs, Pablo-icecobar en witwassen met bitcoins
De rechtbank Oost-Brabant heeft op 29 november 2023 enkele verdachten veroordeeld voor het produceren en voorhanden hebben van metamfetamine (ook wel ‘ice’ of ‘crystal meth’ genoemd) in drugslabs in Drempt, Moerdijk, Willemsoord en Hauwert. De leider van de criminele organisatie krijgt een gevangenisstraf opgelegd van 14 jaar en 10 maanden (ECLI:NL:RBOBR:2023:5522). Uiteraard heeft de media ook over de zaak bericht. Lees bijvoorbeeld dit achtergrondartikel over de zaak in Panorama of luister deze podcast over de zaak van Radio1.
De zaak begon toen op 19 juni 2020 uit politie-informatie bleek dat een Mexicaanse burger woonachtig op zoek zou zijn naar een loods in het buitengebied van Nederland om een drugslab op te zetten. Naar aanleiding van deze informatie werd diezelfde dag een onderzoek opgestart onder de naam ‘26Inn’. Dat onderzoek richt met name op de organisatie achter deze drugslabs. Op basis van observaties, taps en het ontsleutelen van cryptoberichten zijn in het onderzoek 26Inn meerdere drugslabs in beeld gekomen en meerdere verdachten aangemerkt die volgens het Openbaar Ministerie strafbare betrokkenheid hebben gehad bij de grootschalige synthetische drugsproductie.
Voor deze blog is met name relevant dat voor de bewijsvoering de inhoud van chatberichten van EncroChat- en Sky ECC relevant zijn geweest. Ook is gebruik gemaakt van tapgesprekken en locatiegegevens. Uit schattingen naar aanleiding van EncroChat-berichten tussen de bij de labs betrokken personen leidt de rechtbank af dat er alleen al in de maanden januari tot en met juni 2020 meer dan 450 kilogram metamfetamine is geproduceerd. Uitgaande van een verkoopprijs in april 2020 van € 7.000,- betekent dat een omzet van € 3.150.000,-. Een deel van de hierbij verkregen geldbedragen werd door een medeverdachte via een derde omgezet in bitcoins. Ook werden er vele geldbedragen door middel van moneytransfers via diverse kantoren in Den Haag naar Zuid-Amerika, Spanje en Amerika verzonden. In 2020 betrof dat 95 transfers voor een bedrag van € 80.894,-.
Eén van de verdachten met het EncroChat-account ‘Pablo-icecobar’ is als leider van de criminele organisatie aangemerkt. Hij vernam welke grondstoffen nodig waren en zorgde dat deze in de labs werden geleverd, regelde de ‘koks’ voor de verschillende drugslabs, stuurde deze aan en zorgde dat ze betaald kregen. Ook ontving hij na het productieproces het eindproduct en verkocht dat of zorgde dat dat verkocht werd. De criminele organisatie waaraan de verdachten hebben deelgenomen of leidinggegeven, bracht ‘de Mexicaanse methode’ naar Nederland, waarbij veelal Latijns-Amerikaanse laboranten naar Nederland werden gehaald om deze bereidingswijze van metamfetamine toe te passen.
De rechtbank overweegt dat de productie van metamfetamine gezondheidsrisico’s en grote schade toe aan het milieu en de leefomgeving met zich meebrengt. Het bereiden van metamfetamine gaat gepaard met het gebruik van zeer gevaarlijke stoffen en chemisch afval. Deze stoffen en afval komen terecht in de aardbodem, open wateren of openbare ruimtes. Dit leidt tot immense schade aan het milieu en deze komt veelal geheel voor rekening van de (lokale) gemeenschap. De ontdekking van een crystal meth-lab gaat daarnaast gepaard met onrust en een gevoel van onveiligheid voor de (lokale) gemeenschap. Deze drugslabs zijn dan volgens de rechtbank dan ook een zware vorm van ondermijning voor de Nederlandse samenleving.
Vrijspraak voor drugshandel in SkyECC-zaak
Op 8 november 2023 heeft de rechtbank Den Haag een verdachte vrijgesproken (ECLI:NL:RBDHA:2023:16698) voor handel in verdovende middelen. De rechtbank kan niet buiten redelijke twijfel vaststellen dat alleen de verdachte de gebruiker is geweest van Sky-accounts in de tenlastegelegde periode. Hierdoor kon niet worden bewezen dat de verdachte ook de gebruiker was van voornoemde Sky-accounts op de momenten dat er over drugshandel werd gesproken.
De rechtbank stelt wel vast dat er een relatie is tussen deze drie accounts. Uit het dossier volgt namelijk dat de Sky-accounts een gezamenlijke nickname hadden, dat er in de chatberichten van de Sky-accounts werd verwezen naar een account uit EncroChat en dat zowel de telefoon met het EncroChat-account als de telefoons met de Sky-accounts in de voor nachtrust bestemde tijd vaak gebruik maakten van een ‘basisstation’ op een locatie. Ook kunnen een aantal chatberichten van de drie accounts aan de verdachte kunnen worden toegeschreven. Zo wordt in de chatberichten geschreven over de dochter van de verdachte en een bepaalde motor van de verdachte (een “Ducati Monster”). Ook is enkele keren afgesproken op of nabij het adres van de verdachte.
Echter, ziet de rechtbank ook data en chatberichten die juist niet naar de verdachte wijzen en zelfs tegenspreken dat hij de gebruiker van de accounts is. Zo wordt de accountnaam ook door anderen gebruikt. Zo zijn er chatgesprekken in het Pools, terwijl de verdachte de Poolse taal niet machtig is. Ook zijn er andere aanwijzingen, waardoor de rechtbank niet kan uitsloten dat niet alleen de verdachte, maar ook een ander of anderen in periodes gebruik heeft/hebben gemaakt van de voornoemde Sky-accounts. Ten aanzien van de ten laste gelegde gesprekken waarin over – kort gezegd – drugshandel wordt gesproken, is voor de rechtbank niet vast te stellen dat het de verdachte is geweest die op die momenten van de accounts gebruikmaakte.
Veroordeling voor drugshandel via het darkweb in hoger beroep
In een hoger beroepszaak veroordeelt (ECLI:NL:GHARL:2023:8583) het Hof Arnhem Leeuwarden op 12 oktober 2023 een verdachte voor zes jaar gevangenisstraf vanwege drugshandel en witwassen, onder andere gepleegd via het darkweb. De zaak in eerste aanleg is in dit jurisprudentieoverzicht uit 2020 opgenomen.
Voor de bewijsvoering in de zaak van verdachte en in die van medeverdachten komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruikgemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie ‘Ironchat’ was geïnstalleerd. De verdachten communiceerden over de handel met elkaar – en met onbekend gebleven derden – door middel van de hiervoor beschreven versleutelde Ironchat-accounts. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen.
De verdachten waren op het darkweb als verkopers actief en maakten gebruik van Bitcoin voor het betalingsverkeer. De verdachten verkochten onder andere cocaïne, speed, MDMA, 2-CB, xtc-pillen, LSD, ketamine, hash en heroïne en verkochten deze wereldwijd. Uit de zwaar geanonimiseerde uitspraak (ook de namen van de drugsmarktplaats zijn geanonimiseerd) blijkt dat Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld. Verder heeft de politie pseudokopen gedaan en de blockchain datatool Chainalysis gebruikt om na te gaan waar bitcoinstransacties vandaan kwamen.
De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachte en zijn mededaders hebben door de opbrengsten van de grootschalige drugshandel via het darkweb aanzienlijke bedragen verworven en voorhanden gehad die van misdrijf afkomstig zijn. De verdachte heeft in de tenlastegelegde periode twee geldwissels uitgevoerd waarbij hij telkens bitcoins heeft ingewisseld voor geldbedragen die uiteindelijk optellen tot een totaalbedrag van 85.000 euro. Daarbij is sprake van witwassen.
Het hof stelt in navolging van de rechtbank Overijssel in eerste aanleg (ECLI:NL:RBOVE:2020:1597) vast dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd bezig heeft gehouden met omvangrijke drugshandel. Daarbij werden drugs geproduceerd en verhandeld. Verdachte en medeverdachten maakten daarbij onder meer gebruik van het darkweb en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes.
Eerste veroordeling naar aanleiding van de Exclu-operatie
Op 9 oktober 2023 heeft de rechtbank Overijssel voor het eerst een uitspraak (ECLI:NL:RBOVE:2023:3929) gedaan naar aanleiding van de operatie naar de cryptotelefoon ‘Exclu’.
De rechtbank vermeld dat op 28 april 2022 onder gezag van het Landelijk Parket op grond van artikel 126o Sv – in samenwerking met Duitsland – een opsporingsonderzoek is gestart onder de naam ‘26Lytham’. In artikel 126o Sv staat de hackbevoegdheid vermeld die de politie onder leiding van het OM mag inzetten in opsporingsonderzoeken naar misdrijven die worden gepleegd of beraamd in georganiseerd verband. Het onderzoek richtte zich op gebruikers van de versleutelde communicatie onder het merk Exclu.
In de uitspraak staat duidelijk de aanleiding van het opsporingsonderzoek. Het onderzoek Lytham26 heeft geleid tot het aantreffen van een ‘hit’ aan de hand van het gebruik van een vastgestelde zoeksleutel, namelijk het woord ‘stemp’ van ‘stempel’. Het was verbalisanten ambtshalve bekend dat blokken cocaïne worden voorzien van een logo die er met een stempel in wordt gedrukt. Binnen de communicatie omtrent blokken cocaïne wordt vaak het logo gebruikt om aan te duiden over welke blokken het gaat. Ook bleek dat een afbeelding gelijkend op een blok cocaïne werd verzonden door de gebruiker van het Exclu-account.
Daarop is een nader onderzoek ingesteld naar (onder meer) deze gebruiker. Tijdens dit onderzoek ontstond het vermoeden dat Exclu-account betrokken was bij de handel in cocaïne, gelet op de gesprekken die werden gevoerd met meerdere tegencontacten. De door dit opsporingsonderzoek verkregen informatie heeft geleid tot de verdenking dat sprake was van een criminele drugsorganisatie waaraan verdachte onder een alias deelnam.
De uitspraak bevat ook interessante overwegingen over de identificatie van de verdachte. De verdachte is vervolgens geïdentificeerd aan de hand van zijn IP-adres. Uit nader onderzoek van de chats die zijn verstuurd door Exclu-ID bleek dat het account veelvuldig gebruikt maakte van een vast IP-adres. Uit de opgevraagde gegevens uit het ‘CIOT-systeem’ was dit IP-adres gekoppeld aan het adres waar de verdachte destijds stond ingeschreven. Over de identificatie van de verdachte overweegt de rechtbank verder dat de verdachte een Exclu-app op zijn telefoon had geïnstalleerd en dat bijvoorbeeld details in foto’s met drugs overeenkwamen met details in de woning van de verdachte (een badkamertegel).
De rechtbank concludeert dat uit de Exclu-chats blijkt dat verdachte met anderen heeft gecommuniceerd over de voorraad cocaïne, de aflevering van cocaïne en de hoeveelheid geld die daarmee werd verdiend. De woning van de verdachte werd gebruikt als een zogeheten ‘stash’-locatie, een soort doorsluispand waar verdovende middelen en geld worden gebracht, bewaard en weggebracht. Ook was hij zelf betrokken bij het afleveren van drugs en beheerde hij het geld.
De rechtbank veroordeelt de 38-jarige verdachte tot een gevangenisstraf van vijf jaar voor het medeplegen van het opzettelijk handelen in harddrugs.
7 jaar cel voor illegale handel met cryptovaluta en drugsdelicten
De rechtbank Oost-Brabant heeft op 15 september 2023 een 42-jarige man veroordeeld (ECLI:NL:RBOBR:2023:4543) voor witwassen door middel van handel in cryptocurrency, valsheid in geschrifte en enkele drugsdelicten. Hij verhandelde illegaal in cryptovaluta van in totaal ruim 11 miljoen dollar (!) en regelde onder andere drugstransporten met XTC.
De verdachte werd in maart 2020 aangehouden in het kader van een ander drugs- en witwasonderzoek. Bij het doorzoeken van zijn woning trof de politie in het plafond van de badkamer verschillende notitieboekjes aan. Daar trof de politie ‘mnenomic phrases’ aan. Een mnenomic phrase is een herstelzin of woordenreeks, bestaande uit 12 tot 24 woorden, voor het openen of herstellen van een cryptovaluta wallet. Deze woordenreeks is vergelijkbaar met de pincode van een bankrekening en betreft een zeer persoonlijke code. Alleen deze code verschaft toegang tot een desbetreffende cryptovaluta wallet. Een van de bij verdachte aangetroffen mnenomic phrases (hierna ook wel private key) verschaft toegang tot een wallet met cryptovaluta ter waarde van ruim $3,5 miljoen. Hieruit kwam vast te staan dat hij tussen januari 2017 en maart 2022 als tussenpersoon cryptovaluta over de hele wereld verhandelde.
In totaal vonden in een periode van vijf jaar, 780 transacties plaats op de tenlastegelegde cryptovaluta wallets van diverse cryptovaluta met een totale inkomende waarde van ruim $11 miljoen. Per transactie ontving de verdachte een zeer hoge commissie, namelijk 4 tot 6 procent van het verhandelde bedrag. Een gebruikelijke werkwijze was dat grote sommen contact geld aan de verdachte werden overhandigd, en hij dit cash geld vervolgens omzette in cryptovaluta. Daarnaast had verdachte geen wetenschap van de identiteit van de personen met wie hij handelde. In de chatgesprekken wordt gebruik gemaakt van ‘codenamen’, ook door verdachte, en voor de overdacht van gelden, wordt gebruik gemaakt van een nummer/token waardoor de identiteit van de betrokken personen niet bekend wordt. De verdachte heeft geen administratie van zijn transacties bijgehouden, ondanks dat dit vaak over zeer grote bedragen per transactie gaat.
Daar komt bij dat er één van de cryptowallets transacties hebben plaatsgevonden waarvan bijna de helft van de transacties afkomstig is van een ‘darknet’ respectievelijk van ‘mixing’, aldus de rechtbank. Dit wordt volgens de rechtbank als middel gebruikt om potentieel identificeerbare of ‘besmette’ cryptovaluta met andere te mengen om de oorspronkelijke bron te verhullen. De verdachte had zelf in die periode nauwelijks legale inkomsten of vermogen. Vanaf 2018 ontving hij geen salaris meer en zijn bankrekening werd grotendeels gevoed door onverklaarbare contante stortingen. Daarnaast past zijn uitgavepatroon niet bij de legale inkomsten van de verdachte. Zo trof de politie een behoorlijke hoeveelheid luxegoederen aan in zijn woning, maakte hij regelmatig vliegreizen en kocht hij onroerend goed in Spanje met contant geld. Hij kon voor dit alles geen plausibele verklaring geven. Dit alles tezamen betekent dat de verdachte zich jarenlang schuldig maakte aan gewoontewitwassen.
Veroordeling voor online handelsfraude
De rechtbank Rotterdam veroordeelde (ECLI:NL:RBROT:2023:6492) op 13 juli 2023 een verdachte voor grootschalige en langdurige online handelsfraude door middel van verschillende webshops en het witwassen van geldbedragen (mede) afkomstig uit die online handelsfraude. Aan de verdachte is online handelsfraude als bedoeld in artikel 326e Sr ten laste gelegd. Hier is nog weinig jurisprudentie over en daarom het signaleren waard.
Van online handelsfraude is kort gezegd sprake als de verdachte een beroep of gewoonte maakt van het via het internet verkopen van goederen of diensten tegen betaling met het oogmerk om zonder volledige levering van die goederen de betaling te ontvangen.
De rechtbank overweegt dat de verdachte met behulp van de in de tenlastelegging genoemde websites, luxe kleding, schoenen en accessoires heeft aangeboden met het oogmerk om geld te ontvangen, terwijl hij wist dat hij niet kon leveren. Uitzendingen van Opgelicht?! hebben er mede toe geleid dat de politie onderzoek is gaan doen. Op de zitting is veel te doen geweest over de hoeveelheid klanten die aangiften hebben gedaan. De raadsman heeft terecht opgemerkt dat het dossier soms slordig is en dat hij niet kan controleren of de lijsten en tabellen in het dossier kloppen. Maar de rechtbank heeft geen reden om te twijfelen aan de overzichten van de aangiften en de klachten die zijn gemaakt door de politie, waaruit blijkt dat tussen 13 juni 2019 en 15 juni 2020 in totaal ongeveer 115 keer aangifte is gedaan tegen de verdachte terwijl daarnaast 56 en 27 personen tegenover de politie hebben verklaard niets of verkeerde goederen te hebben ontvangen na een bestelling bij een van de websites op de tenlastelegging. Met de raadsman heeft de rechtbank vastgesteld dat in de gehele ten laste gelegde periode de verdachte waarschijnlijk ruim 850 verkopen heeft gedaan.
Verder gaan de door de verdachte overgelegde screenshots en ‘track and trace’-codes over bestellingen van kleding en schoenen en over leveringen. Dit wekt op zijn minst de indruk van handelsactiviteiten. Ten slotte zijn er acht ‘moneytransfers’ verricht. Anders dan de officier van justitie heeft gesteld, maakt dit aannemelijk dat de verdachte dan misschien niet de beste internetondernemer is geweest, maar wel dat er gedurende een zekere periode daadwerkelijk sprake is geweest van reguliere online handel.
Om het feit van artikel 326e Sr te begaan is het geen noodzakelijke voorwaarde dat de koper heeft betaald. Het gaat erom dat de verdachte goederen aanbiedt met het oogmerk om de betaling te ontvangen terwijl hij weet, in de zin van onvoorwaardelijk opzet, dat hij niet kan leveren. Dat moment doet zich naar het oordeel van de rechtbank in elk geval voor telkens als de verdachte na 17 september 2019 goederen aanbiedt en een koper vervolgens een bestelling plaatst op een van de websites van de verdachte.
De rechtbank overweegt nog dat media-aandacht, door onder andere het programma Oplichting?!, een negatieve impact op de verdachte en zijn privéleven heeft gehad, maar niet in die mate dat dit tot strafvermindering zou moeten leiden. Terecht heeft de raadsman bezwaar gemaakt tegen het vastleggen van de aanhouding van een verdachte op (bewegend) beeld. Immers, niet onmiddellijk duidelijk is welk (publiek) belang daarmee wordt gediend. Bij het faciliteren van het filmen en vervolgens uitzenden van dergelijke politieacties is dan ook voorzichtigheid en terughoudendheid geboden.
Naar het oordeel van de rechtbank is door de verdediging echter onvoldoende geconcretiseerd dat en hoe door het filmen en vervolgens uitzenden van de aanhouding van de verdachte en de verdere media-aandacht voor de zaak het recht op een eerlijk proces in het gedrang zou zijn gekomen. Niet gebleken is dat het recht op een eerlijk proces van de verdachte bij deze rechtbank en meer in het bijzonder de onschuldpresumptie daadwerkelijk is aangetast. De rechtbank legt de verdachte twee jaar gevangenisstraf op.
Het ‘internet Organised Threat Assessment’ (iOCTA) rapport (.pdf) van Europol biedt elk jaar overzicht van gesignaleerde trends en actualiteiten omtrent georganiseerde cybercriminaliteit in de Europese Unie. Dit jaar geeft het rapport een inkijkje in de wereld van criminele internetdiensten, datahandelaren en witwaspraktijken in relatie tot cybercrime. Hier volgt een korte samenvatting.
Rusland-Oekraïne
Het rapport begint met het benoemen van de overloopeffecten van het Rusland-Oekraïne conflict. Vooral in de EU is een toename van Distributed Denial of Service (DDoS)-aanvallen zichtbaar die nationale en regionale overheidsinstellingen treffen. Deze aanvallen waren vaak politiek gemotiveerden gecoördineerd door pro-Russische hackersgroepen in de EU.
Criminele VPN’s
In het rapport staan ook schadelijke ‘virtual private networks’ (VPN’s) centraal. VPN’s zijn populair bij cybercriminelen om hun communicatie en websurfgedrag op internet af te schermen. VPN-aanbieders hosten doorgaans een aantal proxy’s waar gebruikers hun werkelijke locatie (IP-adres) en de inhoud van hun verkeer kunnen verbergen. Hoewel VPN-diensten niet illegaal zijn, zijn sommige ontworpen voor criminelen en worden deze ook geadverteerd aan criminelen. Het gebrek aan medewerking aan verzoeken of vorderingen van wetshandhavers is kenmerkend voor deze VPN-diensten. Ook wijst Europol op ‘bullet proof hostings providers’ die niet aan Know-Your-Customer (KYC)-procedures doen en soms geen klant- en metadata (zoals IP-adressen) opslaan, wat criminele activiteiten vergemakkelijkt. Bovendien is hosting een complexe internationale bedrijfstak waar servers vaak worden doorverkocht aan andere datacenters in verschillende regio’s.
Gestolen gegevens
Europol noemt gestolen gegevens de ‘centrale grondstof’ van de illegale economie op internet. Gegevensdiefstal is een belangrijke bedreiging, omdat gestolen gegevens gebruikt kunnen worden voor een breed scala aan van criminele activiteiten, zoals voor het verkrijgen van toegang tot computersystemen, spionage, afpersing en voor ‘social engineering’-doeleinden (waarbij mensen zich voordoen als een ander). Een berucht voorbeeld van een forum waarin werd gehandeld in gestolen gegevens was ‘RaidForums’. Dit forum werd in april 2022 offline gehaald tijdens ‘Operation Tourniquet’. RaidForums had meer dan een half miljoen gebruikers en richtte zich op het verzamelen en doorverkopen van ‘exclusieve’ persoonlijke gegevens en databases van gecompromitteerde servers. RaidForums maakte naam door rivaliserende forums te hacken en persoonlijke informatie vrij te geven over hun beheerder (doxing). De high-profile database lekken die werden verkocht op het forum behoorden meestal toe aan bedrijven in verschillende sectoren. Ze bevatten gegevens van miljoenen creditcards en bankrekeningnummers, gebruikersnamen en wachtwoorden die nodig zijn om toegang te krijgen tot accounts.
Witwassen
Cybercriminelen die betrokken zijn bij cyberaanvallen en verwante diensten, maar ook degenen die handelen in of het beheer hebben over dark web marktplaatsen, voeren hun financiële transacties bijna uitsluitend uit met cryptocurrencies. Daarbij maken ze veel gebruik van technieken om hun financiële activiteiten te anonimiseren voordat ze hun illegale winsten te gelde maken. Deze technieken omvatten het gebruik van mixers, ‘swappers’ (waarmee cryptocurrencies kunnen worden omgezet in andere betalingsmiddelen) en gedecentraliseerde beurzen. Dit vereist zeer bekwame onderzoekers die verschillende methoden te gebruiken om cryptocurrency te volgen (zoals ‘demixing’, het traceren van ‘cross-chain swaps’ en het analyseren van ‘liquiditeitspools’).
Criminele netwerken die betrokken zijn bij fraude behalen hun winsten in zowel fiat- als cryptocurrencies. Het witwassen van hun criminele fondsen gebeurt meestal zeer snel nadat de fraude heeft plaatsgevonden. Dit heeft tot gevolg dat tegen de tijd dat het slachtoffer de zwendel doorheeft, het geld al verdeeld is over rekeningen in meerdere landen en is witgewassen. Online fraudeurs maken ten slotte ook veel gebruik van gokplatforms om winsten wit te wassen, omdat ze gebruikt kunnen worden om de herkomst en stromen van illegaal verkregen geld te verdoezelen.
De rechtbank Amsterdam heeft op 19 juni 2023 een 25-jarige man is veroordeeld (ECLI:NL:RBAMS:2023:3748) tot drie jaar gevangenisstraf (waarvan één voorwaardelijk) vanwege heling van gegevens, het voorhanden hebben van phishing websites en phishing e-mails, gewoontewitwassen van cryptovaluta en diefstal van cryptovaluta.
De verdachte heeft zich schuldig gemaakt aan computercriminaliteit, waarbij hij een groot aantal datasets met privacygevoelige persoonsgegevens voorhanden heeft gehad en deze op een illegaal internetforum te koop heeft aangeboden. De rechtbank stelt vast dat verdachte niet-openbare gegevens in de vorm van een grote hoeveelheid datasets uit winstbejag voorhanden heeft gehad, heeft verworven en ter beschikking heeft gesteld aan anderen, terwijl hij wist dat deze door misdrijf waren verkregen. De verdediging heeft aangevoerd dat op basis van het dossier onvoldoende kan worden vastgesteld dat sprake is geweest van ‘niet-openbare gegevens. Dit verweer wordt verworpen. Dat hier sprake is van niet openbare gegevens volgt namelijk uit de verklaring van de verdachte zelf, de gevoelige aard en de combinatie van de persoonsgegevens en medische gegevens per dataset, en het feit dat deze te koop werden aangeboden op een illegaal hackersforum als Raidforums.
De rechtbank stelt op basis daarvan vast dat verdachte cryptovaluta ter waarde van in totaal €717.240,84 heeft witgewassen en dat hij hiervan een gewoonte heeft gemaakt. De rechtbank overweegt daarover onder andere dat uit het onderzoek naar de verschillende aangetroffen ‘seed phrases’. Een seed phrase bestaat 12-24 willekeurige woorden en dient als back-up van een crypto-wallet om de cryptocurrencies in een wallet te kunnen herstellen. Bovendien blijkt uit de bijbehorende cryptovaluta wallets dat verdachte in de periode februari 2022 tot en met september 2022 via de seed phrases toegang had tot grote hoeveelheden cryptovaluta en daarmee ook voorhanden heeft gehad. Dit met een waarde van in totaal € 435.549,84. Deze cryptovaluta zijn eerst op zes anonieme walletadressen verzameld en vervolgens doorgestort naar 41 andere anonieme wallet adressen om vervolgens uit te komen op een walletadres dat behoort bij handelsplaats Binance. Ook is op de HP-laptop van verdachte een seed phrase aangetroffen die toegang geeft tot een cryptovaluta wallet met een wallet adres dat begint met ‘bc1’. In deze cryptovaluta wallet zijn in de periode 14 februari 2022 tot en met 3 augustus 2022 bitcoins aangetroffen met een waarde van in totaal € 281.691,00 waarvan de herkomst niet is te herleiden.
Voor een deel zijn de cryptovaluta zijn naar het oordeel van de rechtbank afkomstig uit eigen misdrijf van verdachte. Door bovendien de cryptovaluta te verzamelen op verschillende anonieme wallets om die vervolgens door te storten naar weer andere anonieme wallets, waarna alle valuta werd verzameld op één walletadres op de handelsplaats Binance, heeft verdachte de herkomst en de vindplaats verhuld en ook heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta was/waren, en wie die valuta voorhanden had. Ook overweegt de rechtbank dat de combinatie van bij de verdachte aangetroffen phishing website, phishing e-mails, logfiles met ruwe invoer van seed phrases en software voor de verwerking daarvan, duidt erop dat de phishing website ook daadwerkelijk is gebruikt. Hoe dit precies in zijn werking is gegaan, kan op basis van het dossier niet worden vastgesteld, maar feit is dat verdachte over een zeer groot aantal seed phrases beschikte die toegang gaven tot cryptovaluta wallets. Verdachte heeft het bezit van de seed phrases ter zitting ook bekend.
Er is geen logische verklaring voor het bezit van zo’n grote hoeveelheid seed phrases anders dan dat deze onrechtmatig zijn verkregen en dienen voor het plegen van diefstal, aldus de rechtbank. Een normale gebruiker van cryptovaluta heeft in de regel niet een dergelijk aantal seed phrases in zijn bezit. Ook zijn bij verdachte geen (offline) notities aangetroffen om de cryptovaluta wallets waarvan de seed phrases zijn gevonden uit elkaar te houden, hetgeen bij normale herkomst van de seed phrases in de rede ligt. Tevens is opmerkelijk dat tussen de ruwe invoer ook ongeldige seed phrases zijn aangetroffen van gebruikers van cryptovaluta wallets die in de gaten hadden dat zij met fraude te maken hadden. Dergelijke invoer duidt niet op legaal verkregen seed phrases.
Cyberstalking
In de afgelopen maanden zijn verschillende veroordelingen verschenen over stalking, waarbij gebruik wordt gemaakt van computers en internet om deze te plegen (‘cyberstalking’). Met een aantal voorbeelden wordt het fenomeen en strafbaarstelling kort uitgelicht. Lees ook dit artikel in NRC met een gespecialiseerde officier van justitie voor meer informatie.
De rechtbank Gelderland publiceerde bijvoorbeeld op 24 mei 2023 een interessante uitspraak over cyberstalking (ECLI:NL:RBGEL:2023:2884). Een 31-jarige man stalkte zes jaar lang een vrouw. De man zocht online informatie over de vrouw en haar omgeving. Zo maakte de man onder andere een website en plaatse daarop beledigende foto’s en teksten over de vrouw en haar partner op onder andere Facebook. Ook belde de man naar het werk van de vrouw en nam via LinkedIn contact op met een collega van de vrouw. Daarnaast deed hij zich bij een makelaar voor als de vrouw om zo haar huis te koop te laten zetten. De man bedreigde de vrouw met de dood in aanwezigheid van politieagenten toen zij de man een contactverbod wilden overhandigen.
Volgens de rechtbank is de belaging (artikel 285b Sr) niet aan de man niet toe te rekenen, omdat hij lijdt aan waanbeelden. Hij werd daarom ontoerekeningsvatbaar verklaard en krijg tbs met voorwaarden. Ook legt de rechtbank een contact- en gebiedsverbod op.
De rechtbank Amsterdam veroordeelde op 22 juni 2023 (ECLI:NL:RBAMS:2023:3868) een 44-jarige man voor stalking, diefstal, computervredebreuk en het gooien van een vuurwerkbom in de brievenbus van de psychotherapeut van zijn ex-vriendin.
De verdachte heeft drieënhalve maand op een zeer intensieve en indringende manier geprobeerd controle uit te oefenen op het leven van zijn toenmalige vriendin. De verdacht heeft onder andere zonder dat zij dat wist, (geluids-) opnames van het slachtoffer met door hem in haar woning geplaatste en verdekt opgestelde camera’s, hij volgde haar door middel van gps-bakens die hij in haar fiets en auto verstopte. Verdachte had de beschikking over de wachtwoorden van haar internetaccounts, en verschafte zich daarmee ook de toegang tot die accounts, waarbij zich soms voordeed alsof hij het slachtoffer was.
De rechtbank kan zich met de conclusies van de deskundigen verenigen en is van oordeel dat verdachte lijdt aan een ziekelijke stoornis te weten een persoonlijkheidsstoornis met borderline, narcistische en antisociale trekken, alsmede een aandachtstekortstoornis met hyperactiviteit welke bestond tijdens het begaan van de feiten. De rechtbank veroordeelde de man tot twee jaar gevangenisstraf en tbs met voorwaarden en materiële en immateriële schadevergoedingen.
Op 28 juni 2023 veroordeelde de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2023:3066) een man voor stalking en identiteitsfraude. De verdachte heeft op social media (o.a. Snapchat, Instagram en Facebook) en verschillende (seks)websites nepaccounts aangemaakt en zich voorgedaan als deze slachtoffers. Hij maakte daarbij gebruik van hun (volledige) naam, telefoonnummer en/of foto’s en stuurde met name seksueel gerelateerde berichten naar bekenden en onbekenden van de slachtoffers. De slachtoffers werden vervolgens benaderd door vriendschapsverzoeken van fakeaccounts die hen vervolgens probeerden te videobellen en seksueel getinte berichten stuurden. Dit handelen van de verdachte in de onlinewereld heeft in het dagelijks leven verstrekkende negatieve gevolgen gehad voor de slachtoffers.
De rechtbank veroordeeld de verdachte tot de geëiste straf, een gevangenisstraf van drie jaren, met aftrek van het voorarrest. De rechtbank neemt daarbij ook in strafverzwarende zin mee dat de verdachte in twee verschillende proeftijden liep voor soortgelijke feiten. Verdachte is in de proeftijd waarin hij werd behandeld, doorgegaan met het plegen van zeer ernstige strafbare feiten tegen (oud-)medewerksters van de Forensische Psychiatrische Kliniek. Deze medewerksters zijn juist de zorgverleners die voor personen met psychische problemen, zoals verdachte, klaarstaan. Zij dienen hun werk onder veilige omstandigheden te kunnen doen. Sommige slachtoffers hebben ter zitting verklaard dat zij door het handelen van verdachte, met pijn in hun hart, afscheid hebben genomen van hun baan in de zorg.
De slachtoffers krijgen voor zover gevorderd een vergoeding voor geleden materiële en immateriële schade. De rechtbank gaat ook over tot het opleggen van de ongemaximeerde TBS-maatregel met dwangverpleging, omdat de rechtbank is van oordeel dat de veiligheid van anderen en de algemene veiligheid van personen en goederen het opleggen van de tbs-maatregel met dwangverpleging vereisen.
Veroordeling voor materiaal van seksueel misbruik van minderjarigen na melding NCMEC
De rechtbank Zeeland-West-Brabant veroordeelde op 3 mei 2023 (ECLI:NL:RBZWB:2023:2923) een verdachte voor het bezit van afbeeldingen van seksueel misbruik van minderjarigen (door de rechtspraak nog steeds ‘kinderporno’ genoemd) (artikel 2240b Sr) en dierenporno (artikel 254a Sr).
De verdediging stelt dat de melding van het Amerikaanse ‘National Center for Missing and Exploited Children’ (NCMEC) (zie ook wikipedia.org) en onderzoek naar het in die melding vermelde IP-adres voldoende voor verdenking van een strafbaar feit in de zin van artikel 27 van het Wetboek van Strafvordering (hierna: Sv).
De officier van justitie stelt dat het vaste praktijk is dat een NCMEC-melding voldoende is om een onderzoek te starten. In deze zaak staat op de eerste melding van het NCMEC dat het om “apparent child pornography” en om een “hash match” gaat. Er bestaat wereldwijd een databank van bekende kinderporno die op internet verschijnt en elk bestand heeft een bepaalde code en een eigen unieke hashwaarde. De door verdachte geüploade bestanden zijn gecontroleerd met bepaalde software waarbij de kinderporno met bekende hashwaardes, door middel van hashmatches, eruit is gefilterd.
KIK Messenger (een chat-app) gebruikt die hashwaardes ook, waardoor gezegd kan worden dat er vermoedelijk (“apparent”) kinderporno is geüpload. Dat het “vermoedelijk” wordt genoemd, is omdat altijd nog door een mens moet worden beoordeeld of de vermoedelijke kinderpornobestanden daadwerkelijk kinderporno bevatten. Dat deze informatie voldoende is voor een verdenking als bedoeld in artikel 27 Sv, blijkt ook wel uit de vele uitspraken die tot op heden zijn gedaan door rechtbanken en gerechtshoven.
Het verweer over de NCMEC-meldingen verwerpt de rechtbank op dezelfde gronden als de officier van justitie. Het is de rechtbank ambtshalve bekend dat deze meldingen bij rechtbanken en gerechtshoven in Nederland voldoende zijn om een verdenking in de zin van artikel 27 Sv op te baseren.
Uit het meldingsrapport van NCMEC maakt de rechtbank op dat door middel van ook door de officier justitie genoemde “hashmatches” was gedetecteerd dat 38 bestanden met vermoedelijk kinderpornografische afbeeldingen waren geüpload via KIK Messenger door de gebruiker van het [e-mailadres] met de gebruikersnaam ‘dripdruppeltje’ en een bepaald IP-adres. Het tweede meldingsrapport maakt melding van twee afbeeldingen met hetzelfde emailadres en IP-adres.
Het Team Bestrijding Kinderpornografie en Kindersekstoerisme (TBKK) van de politie heeft deze meldingen verder onderzocht. Uit dat onderzoek is gebleken dat het vermelde IP-adres toebehoorde aan verdachte en waar verdachte woonachtig was en waar hij werkzaam was. Volgens het TBKK stond verdachte als enige ingeschreven op dat woonadres. Anders dan de raadsman stelt, zijn de meldingen dus wel degelijk verder onderzocht.
Op grond van de NCMEC-meldingen en het verdere onderzoek naar het in de meldingen genoemde IP-adres, is de rechtbank van oordeel dat er voldoende verdenking in de zin van artikel 27 Sv bestond om tot binnentreden ter inbeslagneming over te gaan. In de woning werd aan verdachte uitgelegd waarvoor zij kwamen waarna verdachte spontaan begon te verklaren over onder andere foto’s die op zijn computer stonden. Direct daarna is aan verdachte de cautie gegeven. Vervolgens is de uitlevering gevorderd van alle gegevensdragers waarop kinderporno stond of kon staan. Verdachte heeft vervolgens een aantal gegevensdragers overhandigd die daarna in beslag werden genomen.
De rechtbank acht op basis van de bewijsmiddelen, inclusief de bekennende verklaring van verdachte, wettig en overtuigend bewezen dat verdachte kinderporno, waarvan ongeveer 553 afbeeldingen die direct benaderbaar waren, op een aantal gegevensdragers in zijn bezit heeft gehad en/of zich daartoe door middel van geautomatiseerde werken en/of met gebruikmaking van communicatiediensten de toegang heeft verschaft. De afbeeldingen bestonden grotendeels uit meisjes in de leeftijd van 6 tot 12 jaar.
Alles afwegend acht de rechtbank een hoge taakstraf in combinatie met een voorwaardelijke gevangenisstraf passend en geboden, het laatste met name om de ernst van de feiten te benadrukken en om de oplegging van de door de reclassering geadviseerde bijzondere voorwaarden mogelijk te maken. De rechtbank overweegt dat ‘vanwege het taakstrafverbod dient ook nog een onvoorwaardelijke gevangenisstraf te volgen’. De rechtbank beperkt daarom de onvoorwaardelijke gevangenisstraf tot één dag. Ook krijgt de verdachte een proeftijd van drie jaar met daarbij de bijzondere voorwaarden (waaronder behandeling) en een taakstraf van 240 uur opgelegd.
Op 1 februari 2022 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2022:104) gewezen in de zaak ‘IJsberg’ over het witwassen van 39.842 bitcoins ter waarde van €4.464.642,03. Kim Helwegen en ik hebben een annotatie (.pdf) geschreven bij de zaak, omdat het Hof een opvallend beoordelingskader gebruikt ten aanzien van witwassen van Bitcoin en vanwege de meer technische overwegingen omtrent de technieken van ‘labelling’ en ‘clustering’ die vaak een rol spelen in witwaszaken met cryptocurrencies.
Feiten
De verdachte is in de onderhavige zaak in de periode van 3 januari 2013 tot en met 26 maart 2015 in Nederland actief geweest als bitcoinhandelaar. Vanaf het begin van deze periode betrof dit (mede) het inkopen van bitcoins tegen contant geld. De verdachte heeft hieromtrent onder meer verklaard dat hij in totaal naar schatting met meer dan 1.000 mensen bitcoins heeft verhandeld, en met ongeveer 100 daarvan in contant geld heeft gehandeld. Hij heeft geen onderscheid gemaakt tussen hen met wie hij in contant geld heeft gehandeld, en met wie niet.
Het hof maakt uit de verklaringen van de verdachte op dat hij ook in het kader van die laatste transacties contact met zijn klanten had op publieke plaatsen. Meestal ontmoette hij klanten bij eetgelegenheden zoals McDonalds, KFC of Burger King.
De bitcoins die hij uit deze transacties ontving, verkocht hij vervolgens online, bijvoorbeeld via ‘online exchanges’ (een wisselkantoor voor cryptovaluta) of voor contant geld aan andere ‘cash traders’ (o.a. door middel van advertenties op het darkweb). Het geld dat hij via online-exchanges ontving, nam hij vervolgens contant op, of hij liet hij direct van de online-exchanges op de bankrekeningen van anderen uitbetalen, onder meer bij twee medeverdachten.
Labelling
In eerste aanleg achtte de rechtbank Rotterdam het voor de vraag of sprake was van witwassen doorslaggevend of bitcoinadressen te relateren zijn aan darknet markets. Met informatie afkomstig van de website walletexplorer.com (hierna: ‘walletexplorer’) is beoordeeld of bitcoinadressen gelinkt konden worden aan darknet markets.
Het hof staat hier kritisch tegenover (r.o. 2.4). Het hof acht de koppeling van bitcointransacties met darknet markets op zichzelf niet als voldoende om vast te stellen of de aangeboden bitcoins mogelijk van misdrijf afkomstig waren. De getuige (de ontwikkelaar van walletexplorer) kon niet met voldoende zekerheid verklaren op welk moment labels aan wallets zijn gegeven. Als gevolg daarvan kan volgens het hof niet worden vastgesteld dat de verdachte in de aan de orde zijnde periode redelijkerwijs informatie op of via internet voorhanden had om vast te kunnen stellen of de aan hem aangeboden bitcoins mogelijk van misdrijf afkomstig waren.
Clustering
Ook de overwegingen van het hof over de werking van de techniek ‘clustering’ zijn interessant (r.o. 2.3). ‘Clustering’ is een techniek die ertoe leidt dat verschillende bitcoinadressen worden toegeschreven aan één en dezelfde entiteit (in meer juridische termen: een of meer natuurlijke of rechtsperso(o)n(en) die eigenaar van die adressen is/zijn).
Het hof overweegt dat clustering door walletexplorer plaatsvindt op grond van de aanname dat alle bitcoinadressen die tot de inputzijde of zendende kant van een transactie behoren (ook wel heuristiek genoemd), tot één en dezelfde entiteit behoren. Op grond van dit uitgangspunt kan dergelijke informatie worden gebruikt om verschillende transacties met elkaar in verband te brengen. Over deze techniek is door deskundige de heer Van Wegberg onder meer verklaard dat het een betrouwbare methode is om een gemeenschappelijke herkomst van bitcoinadressen vast te stellen. De analyse als zodanig wordt volgens deze deskundige – ten tijde van het getuigenverhoor d.d. 11 december 2017 – door geen enkele andere wetenschapper betwist. De verdediging heeft dit niet weerlegd.
Succes met ‘oude’ feiten en relatieve onbekendheid van Bitcoin
De verdediging stelde in deze zaak dat witwastypologieën voor virtuele betaalmiddelen van de ‘Financial Intelligence Unit’ (FIU) niet mogen worden gebruikt, omdat het handelen van de verdachte zich strekt over de periode van 2013 tot en met begin 2015. De typologieën waren destijds (r.o. 2.6):
– de koper biedt zijn diensten aan via internet middels vraag- en aanbodsites;
– de koper stelt geen identiteit van de verkoper vast;
– de koper rekent in contanten af;
– een legale economische verklaring voor de wijze van omwisseling is niet aannemelijk;
– de omvang van de aangekochte virtuele betaalmiddelen is niet aannemelijk in relatie tot gemiddeld particulier gebruik.
– De koper en/of verkoper maakt/maken bij de verkoop van virtuele betaalmiddelen gebruik van een zogenaamde mixer.
Het hof gaat in zoverre hierin mee dat zij stelt dat cryptovaluta in die periode inderdaad een ‘relatieve onbekendheid’ had en dat een juridisch beoordelingskader dat specifiek is toegesneden op het handelen door de verdachte in de tenlastegelegde periode ontbrak. Daarom is volgens het hof terughoudendheid op zijn plaats bij het toepassen van in 2017 geformuleerde witwastypologieën op het handelen in die eerdere jaren.
Commentaar
Wij plaatsen in onze annotatie (.pdf) enkele kritische kanttekeningen bij de beoordeling van het hof. Het hof is op zoek gegaan naar een kader, waaruit blijkt dat het niet anders kan zijn dan dat de bitcoins afkomstig zijn uit enig misdrijf. Het hof vindt in haar zoektocht aansluiting bij de destijds geldende Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), in het bijzonder de categorie: ‘handelaren in zaken van grote waarde’, die als instelling wordt aangemerkt voor de Wwft. De geciteerde categorie in het arrest (r.o. 2.6) ziet echter niet op de categorie: ‘handelaren in zaken van grote waarde’, maar op de categorie ‘de beroeps of bedrijfsmatige handelende verkoper van goederen’. De destijds geldende Wwft is eveneens van toepassing op beroeps- of bedrijfsmatig handelende verkopers van goederen, ongeacht welke goederen, voor zover betaling van die goederen in contanten plaatsvond voor een bedrag van €15.000 of meer.
De drempelwaarde van €25.000 gold destijds voor handelaren in zaken van grote waarde met betrekking op een aantal limitatief genoemde goederen (voertuigen, schepen, kunstvoorwerpen etc.), waar de Bitcoin in ieder geval niet onder viel. Ten tijde van het feitencomplex was nog niet duidelijk of bitcoins als goed konden worden gekwalificeerd. Het hof onderbouwt haar standpunt nader met de Leidraad 2016 Verkopers van goederen van de Belastingdienst/Bureau Toezicht Wwft. Het zou consistent zijn als het hof ook niet terugvalt op een leidraad uit 2016 bij een feitencomplex van 2013 tot begin 2015. De vergelijking met ECLI:NL:PHR:2021:495 gaat evenmin op, aangezien die zaak een autohandelaar betrof en voor voertuigen destijds – anders dan Bitcoin – expliciet een drempelbedrag van €25.000 van toepassing is.
Kortom, wij zijn in ieder geval niet overtuigd van de motivering van het hof om in onderhavige zaak aansluiting te zoeken bij de Wwft en de drempelwaarde van €25.000. Wij denken dat het hof toch nadrukkelijker had kunnen nagaan of de feiten en omstandigheden die zijn aangedragen door het OM aansloten bij overige witwasindicatoren, zoals het omzetten van de bitcoins in contact geld, een garandeerde anonimiteit en het ontbreken van een ordentelijke administratie van de transacties (zie ook r.o. 2.6).
Conclusie
Wij verwachten dat cassatie wordt ingesteld. Onze inschatting is daarbij dat het nieuwe kader van het hof geen standhoudt en het hof opnieuw moet oordelen. Niettemin is het arrest waardevol voor de verdediging in cryptovaluatazaken en witwassen. De overwegingen in het arrest rond labelling en clustering kunnen van belang zijn voor de tracering van de (eventueel) criminele herkomst van cryptovaluta in andere witwaszaken. Voor de verdediging kan het lonen om de ten laste gelegde transacties met tools zoals walletexplorer of chainalysis kritisch na te lopen.
Citeerwijze: Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104, Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen
jjoerlemans.com 