Kroniek ondernemingsstrafrecht tweede helft 2019

Inleiding

Prof. Mr. H.J.B. Sackers (red.)

De meest relevante gebeurtenissen uit de tweede helft van 2019 hebben weinig directe betekenis voor het ondernemingsstrafrecht. Niet dat er niet het nodige is gebeurd. Naast onderwerpen zoals het te overwegen verbod op particulier vuurwerk en het gebruik van lachgas, was het meest centrale thema in de jaaroverzichten van het nieuws uit 2019 de stroom van protesten van boeren, bouwers, klimaatactivisten en andere ontevredenen, waaronder zorgverleners, leraren, (sociale) advocaten en tolken.

Voor zover de protesten betrekking hadden op de stikstofproblematiek en de als gevolg van de in de vorige kroniek al gesignaleerde PAS-uitspraak aangekondigde maatregelen, waren zij te verwachten. In diverse stadia van voorbereiding volgde de afgelopen zes maanden nieuwe wet- en regelgeving in een reactie op de problematiek. 

In dit kader zijn zonder de pretentie van volledigheid te noemen het Schone Lucht Akkoord, het Klimaatplan, de Regeling spoedaanpak stikstof bouw en infrastructuur, het Besluit Woningbouwimpuls 2020, en wijzigingen van onder meer de Wet milieubeheer en het Besluit bodemkwaliteit (gebiedsspecifiek beleid PFAS). Ondertussen kondigde het kabinet middels een Kamerbrief opnieuw een breed offensief aan tegen de georganiseerde ondermijnende criminaliteit. De indiening van een wetsvoorstel met wijzigingen in het Wetboek van Strafrecht en het Wetboek van Strafvordering, de Opiumwet, de Wet wapens en munitie, de Wet op de economische delicten en de Wet misbruik chemicaliën, in verband met versterking van de strafrechtelijke aanpak van ondermijnende criminaliteit, wordt dit voorjaar verwacht.1

Een soortgelijk aanvalsplan is te verwachten tegen de om zich heen grijpende cybercriminaliteit waaronder online handelsfraude, fraude met bitcoins en andere vormen van oplichting via het internet.2

Een ander wetsvoorstel dat zijdelings het ondernemingsstrafrecht kan betreffen is het voorstel tot verruiming van de mogelijkheden tot het verbieden van rechtspersonen, dat moet worden gezien als een aanvulling op het initiatiefwetsvoorstel voor een Wet bestuurlijk verbod ondermijnende organisaties. Beide wetsvoorstellen zijn in behandeling bij de Tweede Kamer.3

De veelzijdigheid aan strafrechtsgebieden die het ondernemingsstrafrecht kleurt, dwingt bij het aanbieden van de kroniek over de tweede helft van 2019 tot keuzen. Die betreffen de rechtsgebieden waarvan hierna verslag wordt gedaan met de meest relevante ontwikkelingen op het gebied van rechtspraak, wet- en regelgeving. Ondertussen dient de in het ondernemingsstrafrecht geïnteresseerde lezer bewust ervan te worden gemaakt dat deze kroniek enerzijds geen verdere reikwijdte heeft dan de periode die zij beslaat, en anderzijds dat zich ook elders in het strafrecht ontwikkelingen hebben voorgedaan waarvan het signaleren hier niet zou misstaan, doch die in de beperking van de omvang van de kroniek niet aan
bod kunnen komen.4

Cybercrime

Verzorgd door mr. K.M.T. Helwegen

Ontwikkelingen in de regelgeving

• Bestrijding fraude met niet-contante betaalmiddelen

Fraude met niet-contant geld moet worden aangepakt. De groeiende digitale component en de grensoverschrijdende dimensie van nieuwe betaaltechnologieën dwingt zelfs tot onderlinge afstemming van strafwetgeving om fraude met nieuwe betaalmethoden aan te kunnen pakken. Een Europese richtlijn biedt een neutraal wettelijk kader dat hierin voorziet.70 Onder het bereik van deze richtlijn valt giraal en elektronisch geld, alsmede virtuele valuta (zoals bitcoins). In dit kader is een wetsvoorstel in consultatie ter aanscherping van reeds strafbare gedragingen. Daarnaast zal voor een aantal delicten de hoogte van de straffen worden verzwaard.71 Nederland voldoet dankzij de ruime strafbaarstellingen van frauduleuze gedragingen al voor een groot deel aan hetgeen waartoe de richtlijn verplicht.

• Nederland als koploper tegen aanpak witwassen

In de vorige editie van de kroniek kwam aan bod dat exchanges (aanbieders van diensten voor het wisselen tussen virtuele valuta en fiat) en custodial wallet providers (aanbieders van bewaarportemonnees) onder het bereik van de Europese anti-witwasrichtlijn ‘AMLD5’ vallen en moeten worden geregistreerd.72 Hierdoor zijn verplichtingen zoals het verrichten van cliëntonderzoek en het melden van ongebruikelijke transacties inmiddels ook van toepassing voor exchanges en custodial wallet providers. In het conceptwetsvoorstel dat in 2018 in consultatie is geweest werd de registratie die volgt uit de richtlijn vormgegeven als een vergunningplicht, waarbij DNB als toezichthouder is aangewezen.73 De Raad van State adviseerde daarentegen dat de richtlijn het niet mogelijk maakt om de registratieplicht vorm te geven als een (verdergaande) vergunningsplicht met voorafgaande toetsing.74 De richtlijn biedt geen keuzemogelijkheid tussen een vergunningplicht en een registratieplicht waardoor (in tegenstelling tot wat DNB en AFM hebben geadviseerd) geen vergunningplicht kan worden geïmplementeerd. Op Europees niveau wordt vooralsnog slechts een registratieplicht proportioneel geacht. In het definitieve wetsvoorstel van 2 juli 2019 is de vergunningplicht vervangen door een registratieplicht, waarbij vooraf een beperktere toets zal plaatsvinden door DNB.75 De Tweede Kamer heeft op 10 december 2019, ondanks de kritiek in consultatiereacties, ingestemd met het wetsvoorstel.76 DNB zal in ieder geval een registratie op basis van een aantal gronden mogen weigeren, alsmede een registratie kunnen doorhalen.77 De kosten voor het toezicht vormen een belangrijk kritiekpunt, aangezien een deel van deze kosten zal worden verhaald op de aanbieders van cryptodiensten. De verwachting is dat dit kostenaspect van invloed zal zijn op het vestigingsklimaat voor aanbieders van cryptodiensten in Nederland.78 Ten tijde van het schrijven van deze kroniekbijdrage is de datum van inwerkingtreding van de implementatiewet, waarmee aanbieders van cryptodiensten onder toezicht van DNB komen, vooralsnog onbekend, aldus het nieuwsbericht van de toezichthouder.79 Wordt vervolgd.

• De aandacht en aanpak van cyberfraude continueert

In de begroting van Justitie en Veiligheid werd al aangekondigd dat het kabinet eenmalig 30 miljoen extra uit zou trekken voor cybersecurity en de aanpak van cybercrime.80 Vanaf 2019 is jaarlijks € 10 miljoen extra beschikbaar voor de uitvoering van de Wet computercriminaliteit III om cybercrime beter te kunnen aanpakken. Ook de FIOD benoemt de bestrijding van cyberfraude in haar jaarbericht over het jaar 2019.81 Met herhaalde aandacht voor het offline halen van een mixingservice voor cryptovaluta (Bestmixer.io), waar ervaring is opgedaan met de bevoegdheid tot het heimelijk en op afstand binnendringen van een geautomatiseerd werk.82 Bestmixer.io betreft een onlinedienst die het mogelijk zou maken om de herkomst of bestemming van cryptovaluta te verhullen. Het gebruikmaken van een mixer is overigens sinds 15 augustus 2017 als een witwastypologie aangemerkt.83

Jurisprudentie

• Digitale opsporing

De Hansa-zaak is de meest spraakmakende cybercrimezaak van het afgelopen jaar vanwege de digitale infiltratie die hierbij heeft plaatsgevonden waarbij een duidelijk signaal is afgegeven dat het darkweb niet anoniem is. Voordat Hansa Market offline werd gehaald heeft de Nederlandse politie de online drugsmarkt bijna een maand lang overgenomen en beheerd. Het onderzoeksteam fungeerde daarbij als beheerder van Hansa Market, reageerde op verzoeken van kopers, nam deel aan het berichtenverkeer, onderhield contacten en verrichtte een aantal pseudokopen. Mede dankzij het toepassen van de infiltratiebevoegdheid konden transacties, verkopers en kopers in kaart worden gebracht. Vervolgens is deze informatie als bewijsmateriaal gebruikt in een aantal strafzaken.84 Rechtbank Rotterdam behandelde vervolgens drie strafzaken waarbij de rechtmatigheid van de inzet van de infiltratieactie aan bod is gekomen. In alle strafzaken hebben veroordelingen plaatsgevonden.85 Naar het oordeel van de rechtbank betreft het een rechtmatige infiltratie gebaseerd op een wettelijke bevoegdheid, waarbij voldoende inzicht is gegeven in de werkwijze van de opsporingsinstanties tijdens de infiltratie voor een begrensde periode. De infiltratie was in overeenstemming met de eisen van proportionaliteit en subsidiariteit.86 De rechtbank refereert hierbij naar het zogenoemde ‘waterbedeffect’. Door de opsporing werd geanticipeerd op de verwachting dat (ver)kopers zich zouden verplaatsen van Alphabay (dat destijds door de FBI offline was gehaald) naar Hansa. Met de infiltratie kon dus de identiteit van (ver)kopers worden achterhaald. Het door de verdediging gevoerde verweer tot niet-ontvankelijkheid van het Openbaar Ministerie wordt verworpen. Evenmin slaagt het verweer dat sprake is van uitlokking, aangezien het dossier hiervoor volgens de rechtbank geen aanknopingspunten biedt. De bestaande situatie is immers na de infiltratie ongewijzigd voortgezet. De (ver)kopers zijn door de geruisloze overname niet tot andere strafbare feiten gebracht, dan die waarop hun opzet tevoren al was gericht. De digitale infiltratie betreft een uniek voorbeeld waaruit volgt dat de overheid bij een zwaarwegend opsporingsbelang behoorlijke risico’s en de daarmee gepaard gaande verantwoordelijkheid durft te nemen. De (deels morele) vraag die hierbij speelt wordt niet belicht in de strafzaken. Het is interessant om te bezien hoe de infiltratie van een darkweb zich verhoudt tot het eventueel niet uitoefenen van de plicht tot inbeslagneming in een situatie waarin die plicht wel degelijk bestaat.87 Het Openbaar Ministerie zal bij dergelijke operaties kritisch moeten zijn op een juiste naleving van het verbod op doorlaten (in casu drugsleveringen). Hierbij heeft de overheid een verantwoordelijkheid voor de bescherming van de maatschappij tegen illegale gevaarlijke stoffen.88 Zeker gelet op de grote hoeveelheden aan drugsleveringen (ook gedurende de infiltratie) kan de kans aanwezig zijn dat toch drugs zijn geleverd met alle risico’s van dien. De vervolgvraag zou dan zijn hoe dergelijke leveringen zich verhouden tot het al dan niet juist naleven van het doorlaatverbod, een norm die in principe gericht is tot het Openbaar Ministerie.

• Onderzoek aan de telefoon

De zaak van het Gerechtshof Amsterdam wordt hier behandeld vanwege het honoreren van een artikel 359a Sv-verweer. Hierbij gaat het over de inhoud van een smartphone die is onderzocht zonder dat daarvoor toestemming van de officier van justitie was verkregen. Hierdoor is een meer dan beperkte inbreuk op het door artikel 8 EVRM beschermde privéleven van de verdachte gemaakt.89 Van belang is dat het onderzoek aan de smartphone heeft plaatsgevonden na het richtinggevende Smartphonearrest.90 Gezien het tijdsverloop tussen het arrest en onderhavig onderzoek hadden de opsporingsambtenaren op de hoogte moeten zijn van de strekking van dit arrest. De raadsman bepleit dat het vormverzuim in het voorbereidend onderzoek moet leiden tot bewijsuitsluiting van onder meer videobestanden die bij het onrechtmatige onderzoek aan de smartphone zijn aangetroffen. Het hof is echter van oordeel dat volstaan kan worden met een reductie van de straf. In de onderhavige zaak komt dit neer op een strafkorting van twee maanden, die voorwaardelijk is opgelegd in plaats van onvoorwaardelijk.

• Betaalpasfraude

De Hoge Raad heeft arrest gewezen in een zaak betreffende omvangrijke betaalpasfraude.91 Het arrest maakt in de eerste plaats duidelijk dat een gemanipuleerde e-dentifier (in casu: identificatiekaartlezer van de ABN AMRO) kan worden aangemerkt als een geautomatiseerd werk als bedoeld in de artikelen 80sexies, 139c en 139d Sr.92 In de tweede plaats oordeelt de Hoge Raad dat sprake is van het aftappen of opnemen van gegevens in de zin van de artikelen 139c en 139d Sr.93 De Hoge Raad wijkt hiermee af van de conclusie van A-G Spronken.94 Zij concludeert (in tegenstelling tot het Hof Den Haag) dat een aangepaste e-dentifier niet zelfstandig voldoet aan de drie cumulatieve eisen die artikel 80sexies Sr aan een geautomatiseerd werk stelt, namelijk opslag, verwerking en overdracht van gegevens. De overdrachtsfunctie die het hof aan de e-dentifier toekent is kort gezegd, niet meer dan een kopieeractie achteraf. Een gemanipuleerde e-dentifier kan niet rechtstreeks gegevens ‘aftappen en opnemen’ uit het geautomatiseerde werk dat wordt gevormd door het bancaire systeem. Daartoe is nog steeds minimaal vereist dat een klant van de bank zijn pinpas in de e-dentifier invoert en een pincode intoetst. De Hoge Raad oordeelt echter anders. In lijn met de wetsgeschiedenis komt het erop neer dat het begrip geautomatiseerd werk niet beperkt is tot apparaten die zelfstandig aan de drievoudige eis (opslag, verwerking en overdracht van gegevens) voldoen. Ook netwerken bestaande uit computers en/of telecommunicatievoorzieningen, evenals delen van zulke geautomatiseerde werken, vallen onder het begrip. Lees en begrijp ik het goed, dan maken de identificatiekaartlezers volgens de Hoge Raad kortgezegd onderdeel uit van het Internet Bankieren-systeem. ‘(..) Mede door middel van de identificatiekaartlezers, die authenticatie en uitwisseling van mede op rekeninggegevens en pincodes gebaseerde (challenge- en response)cijfercodes met het Internet Bankieren-systeem van ABN AMRO mogelijk maakten ten behoeve van digitale bancaire transacties en die daarmee deel uitmaakten van dat systeem, vond immers opslag, verwerking en overdracht van onder meer identificerende gegevens plaats als onderdeel van die transacties’ (cursivering KH). Het oordeel van het hof dat sprake was van het aftappen en opnemen van gegevens is volgens de Hoge Raad niet onbegrijpelijk. De Hoge Raad oordeelt dat gegevens wel degelijk zijn afgetapt en opgenomen, doordat: ‘(..) binnen het digitale proces van Internet Bankieren actief werd ingegrepen op het vraag- en antwoordspel van de identificatiekaartlezer, waarbij door de gemodificeerde chiprekeninggegevens werden opgevraagd die in reactie daarop werden overgedragen door de chip in de bankpas alsmede de bij dat vraag- en antwoordspel door de gebruiker ingetoetste PIN werd onderschept.’ De enkele omstandigheid dat tijdens het proces een of meer digitale verwerkingen plaatsvonden die op zichzelf beschouwd ook als het ‘overnemen’ van de gegevens zouden kunnen worden aangemerkt, doet daaraan volgens de Hoge Raad niet af.

• Darkweb en cryptovaluta

Ook in deze kroniek is aandacht voor een handelaar in bitcoins met een verdenking in een witwasonderzoek. De aandachtspunten die in dergelijke zaken aan de orde zijn, komen ook in onderhavige zaak aan bod: de marge, het waarborgen van anonimiteit, het contant afrekenen en het al dan niet onderzoek verrichten naar de verkoper. De reeds bekende lijn in de jurisprudentie laat zien dat redelijk snel een gerechtvaardigd witwasvermoeden aan de orde kan zijn, waarna vervolgens een verklaring van de verdachte zal worden verlangd.95 Zo ook in onderhavige zaak waar de verdachte het verwijt wordt gemaakt zich schuldig te hebben gemaakt aan gewoontewitwassen.96 Dit gebeurde door bitcoins met een illegale herkomst om te zetten in contant geld. De verdachte adverteerde op Marktplaats met de aan- en verkoop van bitcoins. De meeste bitcoins die op het public key-adres van de verdachte werden overgemaakt bleken afkomstig te zijn uit een in 2017 offline gehaalde darkweb market. Uit het vonnis volgt dat bij de verdachte bitcoins ingewisseld konden worden tegen contant geld, waarbij anonimiteit werd gewaarborgd. Deze anonimiteit werd gegarandeerd door altijd op een openbare plaats af te spreken bij een bedrijf in Landgraaf. De verdachte vroeg verder een aanzienlijk hogere commissie dan de reguliere wisselkantoren. De feiten en omstandigheden rechtvaardigen volgens de rechtbank een vermoeden van witwassen. Uit nader onderzoek is gebleken dat dit vermoeden op waarheid lijkt te berusten, nu een groot deel van de bitcoins blijkt te zijn verdiend met drugshandel. Dit nader onderzoek wordt niet nader gespecificeerd in het vonnis. De rechtbank oordeelt dat een verklaring over de herkomst van de bitcoins in deze zaak mag worden verlangd van de verdachte. De verdachte heeft verklaard dat hij van geen enkele klant wist hoe zij aan hun bitcoins gekomen zijn, omdat hij dat niet zo belangrijk vond. Door geen persoonsgegevens te vragen, geen onderzoek te verrichten naar de herkomst van de bitcoins en betaling in contant geld aan te bieden, heeft de verdachte bewust de aanmerkelijke kans aanvaard dat malafide verkopers gebruikmaakten van zijn diensten en de door hem omgezette bitcoins een criminele herkomst hadden. De rechtbank oordeelt dat ten minste sprake is van voorwaardelijk opzet. De verdachte wordt veroordeeld tot 34 maanden gevangenisstaf, waarbij rekening is gehouden met een overschrijding van de redelijke termijn. Op te merken is dat de rechtbank benoemt dat de verdachte een boekje over handel in bitcoins uit 2015 als een soort leidraad gebruikte. De titel en auteur van het boekje worden niet prijsgegeven in de voetnoot van het vonnis. Het blijft gissen naar de auteur en titel van het boekje, en in hoeverre daaruit kan worden afgeleid dat de verdachte zich bewust was van het risico dat de aangeboden bitcoins een criminele herkomst kunnen hebben. Verder zou de verdachte gewaarschuwd zijn door diverse banken. Op basis van het vonnis wordt niet duidelijk op welke wijze de verdachte gewaarschuwd is door de diverse banken. De medeverdachte in deze zaak is overigens vrijgesproken, aangezien uit het dossier niet een dusdanig grote rol blijkt dat van medeplegen van witwassen sprake kan zijn. Ook overweegt de rechtbank dat niet wettig en overtuigend bewezen is dat zij wetenschap heeft gehad dat de opbrengst afkomstig was uit misdrijf.97

• Oplichting en phishingpraktijken

Ook het tweede deel van het jaar 2019 volgden meerdere veroordelingen, waarbij verdachten door middel van phishing in het bezit kwamen van bankgegevens, passen en creditcards van anderen die heimelijk worden verzameld. De gegevens worden vaak verkocht via darkweb of gebruikt om fraude mee te plegen.98 Een megazaak werd behandeld door de Rechtbank Rotterdam in het onderzoek ‘Roetnevel’. Dit onderzoek omvat verschillende zaaksdossiers en betreft in totaal vijf verdachten die veroordeeld zijn voor ‘tikkie-fraude’.99 De modus operandi betrof het contact zoeken met slachtoffers via Markplaatsadvertenties. Er werd interesse getoond in een aangeboden product, waarna de conversatie zich via WhatsApp voortzette. Via een vermeend tikkie-betaalverzoek werd in de afrondende fase van de koop eerst verzocht om één cent over te maken. Op deze manier konden de gegevens van de verkoper gecontroleerd worden. In werkelijkheid werden de slachtoffers na het klikken op de link naar een phishingwebsite geleid, die qua uiterlijk leek op de inlogpagina van hun bank. Met deze gegevens in de hand kon vervolgens worden ingelogd op het internetbankieraccount van het slachtoffer. Vervolgens kon aan de rekening een Mobiel Bankieren App, en soms ook een Mobiel betalen App, worden gekoppeld om contactloze betalingen via een mobiele telefoon mogelijk te maken. Verder werden er aankopen gedaan bij de Mediamarkt die vervolgens weer werden geretourneerd tegen contant geld. Samenvattend heeft de rechtbank met behulp van dwarsverbanden tussen verschillende aangiften, verdachten en onderzoeksresultaten kunnen concluderen dat het een dader of dadergroep betrof die al dan niet in wisselende samenstelling opereerde. Per verdachte afzonderlijk heeft de rechtbank de betrokkenheid nader geduid. Hierbij moet onder andere worden gedacht aan (deels) bekennende verklaringen, in beslag genomen telefoons waarop betaalapps stonden geïnstalleerd die gekoppeld konden worden aan bankrekeningen van slachtoffers, telefoongegevens die gekoppeld kunnen worden aan een mast waardoor de locatie van een verdachte kon worden bepaald, camerabeelden waarop een verdachte al dan niet te herkennen is, en het gebruik van WhatsApp dat gekoppeld is aan een mobiel nummer waarmee ook is gecommuniceerd ten tijde van de ‘tikkie-fraude’ met de aangevers. Drie van de vijf verdachten werden naast computervredebreuk, diefstal en oplichting ook veroordeeld voor lidmaatschap van een criminele organisatie met gevangenisstraffen tot gevolg. De vonnissen maken verder duidelijk dat een bank, die in principe niet de rekeninghouder met de schade is, toch een schadevergoeding kan vorderen wanneer zij de schade van haar opgelichte klanten heeft vergoed. De eis van rechtstreekse schade dient naar vaste jurisprudentie niet te strikt te worden uitgelegd. De schade staat in dit kader in zodanig nauw verband met het bewezen verklaarde feit, dat die schade redelijkerwijs moet worden aangemerkt als rechtstreeks aan de benadeelde partij door dat feit te zijn toegebracht.

• Computervredebreuk

Uit een arrest van Hof Den Haag volgt dat een onderscheid moet worden gemaakt tussen enerzijds software (een aantal computerprogramma’s) waarmee OV-chipkaarten kunnen worden gemanipuleerd, en anderzijds de kaartschrijver/kaartlezer waarmee het saldo van een OV-chipkaart kan worden verhoogd.100 De software werd gebruikt om de OV-chipkaarten binnen te dringen en kan worden gezien als een technisch hulpmiddel in de zin van artikel 139d Sr. Deze software is immers specifiek ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk. Deze redenering gaat niet op voor de kaartschrijver/kaartlezer die (op zichzelf beschouwd) niet als technisch hulpmiddel kan worden aangemerkt. Een kaartschrijver/kaartlezer is een vrij verkrijgbaar elektronisch apparaat dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van onder meer NFC-chips. De kaartschrijver/kaartlezer betreft geen middel dat hoofdzakelijk is ontworpen of aangepast voor het begaan van de genoemde delicten. Het hof overweegt: ‘(..) niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van de genoemde delicten. Evenmin blijkt dat de kaartschrijver/kaartlezer op enigerlei wijze voor dat doel is aangepast.’ In het volgende vonnis heeft verdachte zich eveneens schuldig gemaakt aan computervredebreuk door zich heimelijk toegang te verschaffen tot de webserver en website van een bedrijf. Uit onderzoek bleek dat de hack is verricht door het plaatsen van kwaadaardige programmatuur.101 De hacker heeft PHP-bestanden geüpload waardoor een webshellprogramma op de webserver is geplaatst. Hierdoor heeft de hacker via de website remote toegang tot de server gekregen. Korte tijd na de hack heeft het bedrijf e-mails ontvangen waarin werd gedreigd privacygevoelige data openbaar te maken als niet binnen 72 uur een bedrag van € 10.000 aan bitcoins zou worden betaald. De verdachte heeft meerdere malen telefoongesprekken met de algemeen directeur van het bedrijf gevoerd die door de politie zijn getapt. Uit de tapgesprekken volgt verder specifieke informatie over het verloop van de hack. Zelf heeft hij verklaard dat hij de derde mail naar het bedrijf heeft verstuurd. Alsmede heeft hij verklaard dat hij telefoongesprekken heeft gevoerd over het af te persen bedrag. De verklaring dat de hack gepleegd is door ‘[alias]’ (een hacker, die de verdachte heeft ontmoet in een telegramgroep), acht de rechtbank ongeloofwaardig. Er wordt volgens de rechtbank op geen enkele wijze handen en voeten gegeven aan dit scenario. Evenmin werkt de verdachte mee aan onderzoek naar de identiteit van deze hacker. Er is sprake van een weinig concreet, niet verifieerbaar en onvoldoende aannemelijk scenario. De rechtbank acht dan ook wettig en overtuigend bewezen dat de verdachte degene is geweest die de hack heeft gepleegd. Ten aanzien van (een poging tot) afpersing in de zin van artikel 317, lid 2 Sr wordt hij vrijgesproken. De rechtbank overweegt in dit kader dat hij weliswaar heeft gedreigd met het openbaar maken dan wel verkopen van de gegevens, maar niet heeft gedreigd met het onbruikbaar maken, ontoegankelijk maken of wissen van de gegevens. Evenmin blijkt uit het dossier dat het bedrijf op enig moment een geldbedrag zou hebben voldaan. Een ander vonnis dat onder meer gaat over computervredebreuk en het voorhanden hebben van technische hulpmiddelen en toegangscodes voor het plegen van computervredebreuk betreft een zaak van Rechtbank Overijssel. Het gaat over het infecteren van computers met malware.102 Deze malware is in staat om de toetsaanslagen op de geïnfecteerde computers vast te leggen. De malware kon worden geïnstalleerd nadat de slachtoffers hadden geklikt op een link die per e-mail naar de slachtoffers werd verstuurd. Door middel van de malware konden de inloggegevens van ING-klanten en de inloggegevens van telecomproviders achterhaald worden. Op deze wijze kon door de verdachte een nieuwe simkaart worden aangevraagd, waarmee de voor het online overboeken vereiste TAN-codes werden ontvangen. Het strafrechtelijk onderzoek is gestart naar aanleiding van een aangifte van de ING. Wat opvalt in deze zaak, is dat de ING openbaar bronnenonderzoek heeft verricht. De rechtbank stelt overigens vast dat gegevens die ING met behulp van een uitgelekte database heeft weten te achterhalen, geen doorslaggevende rol hebben gespeeld bij het identificeren van de verdachte. De rechtbank is verder niet gebleken dat door ING strafbare handelingen zijn gedaan. De politie heeft via het CIOT de tenaamstelling van het IP-adres achterhaald. Daarna is pas een proces-verbaal van verdenking opgemaakt, waarbij de verdachte nog niet met naam was geïdentificeerd. Wel werd op basis van dit proces-verbaal een IP-tap verleend. Vervolgens kwam uit de Basisregistratie Personen naar voren dat er vier personen, onder wie de verdachte, woonachtig waren op het genoemde adres. Hierna is pas een koppeling gemaakt met de gegevens uit het openbare bronnenonderzoek van de ING. Op de pc van de verdachte bleken verder programma’s geïnstalleerd te zijn die nodig zijn om de door de ING beschreven malware te laten functioneren. In een andere zaak kwam de Rechtbank Den Haag tot een veroordelend vonnis, waarbij de verdachte zich zonder toestemming de toegang tot meerdere iCloudaccounts heeft verschaft en zich daarmee schuldig heeft gemaakt aan computervredebreuk.103 Tot slot nog aandacht voor twee strafzaken waar de inloggegevens van een politiesysteem zijn gebruikt voor doeleinden die buiten de grenzen van de autorisatie vallen (privédoeleinden), waardoor onbevoegd gebruik is gemaakt van de servers van de politie. Deze gedraging wordt dan ook gekwalificeerd als het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk.104

• Handel in gehackte accounts

In deze zaak ging het om een verdachte die twee jaar lang heeft gehandeld in gehackte PayPal-accounts.105 De gegevens zijn door een ander op illegale wijze verkregen en doorverkocht om winst te maken. De verdachte kocht de inloggegevens van gehackte accounts via de site blackpass. Diezelfde accounts verkocht hij vervolgens aan verschillende handelsplatformen op het darkweb. De verdachte heeft hierbij alleen oog gehad voor financieel voordeel en voelde zich onbespied door op het darkweb te handelen. De verdachte krijgt hiervoor een taakstraf van 180 uur en een voorwaardelijke gevangenisstraf van 2 maanden opgelegd met een proeftijd van 2 jaar, waarbij de rechtbank de persoonlijke omstandigheden en de proceshouding van verdachte in positieve zin meeweegt.

70. Richtlijn (EU) 2019/713. Besproken in een eerdere editie van deze kroniek (2019, p. 198-199). 71. Wetsvoorstel consultatieversie 1 december 2019 ter implementatie van de richtlijn 2019/713/EU van het Europees Parlement en de Raad over bestrijding van fraude met en vervalsing van niet-contante betaalmiddelen en ter vervanging van Kaderbesluit 2001/413/JBZ van de Raad (PbEU L 123/18). Het strafmaximum van de artikelen 138b, 138c 350a en 350d Sr wordt verhoogd. (Computercriminaliteit waarmee betaalgegevens worden verkregen wordt verhoogd naar drie jaar; vervalsen van betaalapplicaties of betaalgegevens en het verkopen of in bezit hebben van gestolen betaalgegevens wordt verhoogd naar zes jaar). 72. Richtlijn (EU) 2018/843. In artikel 47 wordt lid 1 vervangen door: ‘(..) 1. De lidstaten waarborgen dat aanbieders van diensten voor het wisselen tussen virtuele valuta en fiduciaire valuta en aanbieders van bewaarportemonnees worden geregistreerd (…).’ 73. Wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme en de Wet toezicht trustkantoren 2018 in verband met de implementatie van richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van de richtlijn 2009/138/EG van het Europees Parlement en de Raad en tot wijziging van richtlijn (EU) 2013/36 van het Europees Parlement en de Raad (Implementatiewet wijziging vierde anti-witwasrichtlijn). 74. Kamerstukken II 2018/19, 35245, nr. 4. 75. Wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme en de Wet toezicht trustkantoren 2018 in verband met de implementatie van richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156) (Implementatiewet wijziging vierde anti-witwasrichtlijn). 76. Overzicht van stemmingen in de Tweede Kamer, 10 december 2019, via: www.eerstekamer.nl. 77. Zie ook: Kamerstukken II 2018/19, 35 245, nr. 3 (onderdeel 3.3.2). (DNB kan registratie weigeren indien zij niet overtuigd is van de bij de registratie aangeleverde gegevens of indien de dagelijks beleidsbepalers niet betrouwbaar en geschikt zijn bevonden.)
71. De begroting voor de DNB is pas begin december naar de Eerste en Tweede Kamer ter goedkeuring toegestuurd, waarbij er rekening mee wordt gehouden dat het integriteitstoezicht van de DNB wordt uitgebreid. 79. Nieuwsbericht DNB van 8 januari 2019, https://www.toezicht.dnb.nl/ 7/50-238084.jsp (online publiek, geraadpleegd op 9 januari 2019). 80. Rijksbegroting 2019 via: www.rijksbegroting.nl (online publiek, geraadpleegd op 30 december 2019). 81. Jaarbericht FIOD 2019 via https://www.fiod.nl/ (online publiek, geraadpleegd op 9 januari 2019). 82. Art. 126nba Sv. Zie ook: Brief van het ministerie van Justitie en Veiligheid, d.d. 12 juni 2019, 2617024 via: www.rijksoverheid.nl. 83. FIU Nederland, https://www.fiu-nederland.nl/nl/wetgeving/witwas typologieen/virtuele-betaalmiddelen (online publiek, geraadpleegd op 31 december 2019). 84. De infiltratiebevoegdheid ex. artikel 126h Sv.
72. Rb. Rotterdam 03 juli 2019, ECLI:NL:RBROT:2019:5339, en Rb. Rotterdam 4 juli 2019, ECLI:NL:RBROT:2019:6049, en ECLI:NL:RB:ROT: 2019:6050. 86. Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339 (Computerrecht) 2019/178 m.nt. Oerlemans. In dit kader stelt Oerlemans overigens een terechte vraag ten aanzien van de proportionaliteit: hoe weegt de noodzaak tot de inzet van de bijzondere opsporingsbevoegdheid van infiltratie, vermoedelijk in combinatie met andere bijzondere opsporingsbevoegdheden zoals een netwerkzoeking en de telecommunicatietap, op tegen de privacy-inbreuk van die duizenden betrokkenen? 87. Artikel 126ff Sv. 88. Kamerstukken II 1996/97, 25 403, nr. 7.
73. Hof Amsterdam 23 oktober 2019, ECLI:NL:GHAMS:2019:4341. 90. HR 4 april 2017, ECLI:NL:HR:2017:584. 91. HR 17 december 2019, ECLI:NL:HR:2019:1963. De fraude werd gepleegd door een georganiseerde vorm van skimmen. De verdachte en medeverdachten gingen langs bij lokale vestigingen van de ABN AMRO. Op deze locaties lagen e-dentifiers die klanten kunnen gebruiken om in te loggen op de beveiligde website van de bank. De originele e-dentifiers maakte plaats voor gemanipuleerde e-dentifiers. De gemanipuleerde e-dentifiers waren voorzien van een technisch hulpmiddel waarmee de gegevens van de chip gekopieerd kon worden en de bijbehorende pincode kon worden vastgelegd. De gegevens van nietsvermoedende klanten kwamen daardoor in de gemanipuleerde paslezers terecht. Na verloop van tijd keerden de verdachten terug naar de lokale vestigingen van de ABN AMRO, waarna (door het gebruik van downloadpassen) de gekopieerde gegevens uit de gemanipuleerde paslezers werden uitgelezen en opgeslagen. Vervolgens zijn in Groot-Brittannië valse betaalpassen vervaardigd waarna met de valse betaalpassen in verschillende landen een bedrag van meer dan een miljoen euro contant geld werd opgenomen. 92. HR 17 december 2019, ECLI:NL:HR:2019:1973, r.o. 3.5.3. 93. HR 17 december 2019, ECLI:NL:HR:2019:1973, r.o. 3.6.3. 94. Conclusie A-G Spronken 1 oktober 2019, ECLI:NL:PHR:2019:968, pnt. 4.11.3 en 4.11.5.
74. Besproken in een eerdere editie van deze kroniek (2019, p. 203-204). 96. Rb. Overijsel 22 oktober 2019, ECLI:NL:RBOVE:2019:3787.
75. Rb. Overijssel 22 oktober 2019, ECLI:NL:RBOVE:2019:3785.
76. Rb. Midden-Nederland 11 december 2019, ECLI:NLRBMNE:2019:5885; de ontneming in ECLI:NL:RBMNE:2019:5886. Zie ook: HR 12 november 2019, ECLI:NL:HR:2019:1750, alsmede de conclusie van A-G Bleichrodt 24 september 2019, ECLI:NL:PHR:2019:925, Hof Den Haag 26 november 2019, ECLI:NL:GHDHA:2019:3148. 99. Rb. Rotterdam 5 december 2019, ECLI:NL:RBROT:2019:9519. Zie ook: ECLI:NL:RBROT:2019:9522, ECLI:NL:RBROT:2019:9521, ECLI:NL: RBROT:2019:9520, ECLI:NL:RBROT:2019:9518.
77. Hof Den Haag 9 september 2019, ECLI:NL:GHDHA:2019:2426. 101. Rb. Overijsel 24 december 2019, ECLI:NL:RBOVE:2019:4909.
78. Rb. Rotterdam 10 september 2019, ECLI:RBROT2019:7259. 103. Rb. Den Haag 31 oktober 2019, ECLI:NL:RBDHA:2019:11523.
79. Rb. Rotterdam 14 oktober 2019, ECLI:NL:RBROT:2019:8110, en Rb. Den Haag 15 oktober 2019, ECLI:NL:RBDHA:2019:10842. 105. Rb. Rotterdam 8 juli 2019, ECLI:NL:RBROT:2019:6548.
80. Rijksbegroting 2019 via: www.rijksbegroting.nl (online publiek, geraadpleegd op 30 december 2019). 81. Jaarbericht FIOD 2019 via https://www.fiod.nl/ (online publiek, geraadpleegd op 9 januari 2019). 82. Art. 126nba Sv. Zie ook: Brief van het ministerie van Justitie en Veiligheid, d.d. 12 juni 2019, 2617024 via: www.rijksoverheid.nl. 83. FIU Nederland, https://www.fiu-nederland.nl/nl/wetgeving/witwas typologieen/virtuele-betaalmiddelen (online publiek, geraadpleegd op 31 december 2019). 84. De infiltratiebevoegdheid ex. artikel 126h Sv.
81. Rb. Rotterdam 03 juli 2019, ECLI:NL:RBROT:2019:5339, en Rb. Rotterdam 4 juli 2019, ECLI:NL:RBROT:2019:6049, en ECLI:NL:RB:ROT: 2019:6050. 86. Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339 (Computerrecht) 2019/178 m.nt. Oerlemans. In dit kader stelt Oerlemans overigens een terechte vraag ten aanzien van de proportionaliteit: hoe weegt de noodzaak tot de inzet van de bijzondere opsporingsbevoegdheid van infiltratie, vermoedelijk in combinatie met andere bijzondere opsporingsbevoegdheden zoals een netwerkzoeking en de telecommunicatietap, op tegen de privacy-inbreuk van die duizenden betrokkenen? 87. Artikel 126ff Sv. 88. Kamerstukken II 1996/97, 25 403, nr. 7.
82. Hof Amsterdam 23 oktober 2019, ECLI:NL:GHAMS:2019:4341. 90. HR 4 april 2017, ECLI:NL:HR:2017:584. 91. HR 17 december 2019, ECLI:NL:HR:2019:1963. De fraude werd gepleegd door een georganiseerde vorm van skimmen. De verdachte en medeverdachten gingen langs bij lokale vestigingen van de ABN AMRO. Op deze locaties lagen e-dentifiers die klanten kunnen gebruiken om in te loggen op de beveiligde website van de bank. De originele e-dentifiers maakte plaats voor gemanipuleerde e-dentifiers. De gemanipuleerde e-dentifiers waren voorzien van een technisch hulpmiddel waarmee de gegevens van de chip gekopieerd kon worden en de bijbehorende pincode kon worden vastgelegd. De gegevens van nietsvermoedende klanten kwamen daardoor in de gemanipuleerde paslezers terecht. Na verloop van tijd keerden de verdachten terug naar de lokale vestigingen van de ABN AMRO, waarna (door het gebruik van downloadpassen) de gekopieerde gegevens uit de gemanipuleerde paslezers werden uitgelezen en opgeslagen. Vervolgens zijn in Groot-Brittannië valse betaalpassen vervaardigd waarna met de valse betaalpassen in verschillende landen een bedrag van meer dan een miljoen euro contant geld werd opgenomen. 92. HR 17 december 2019, ECLI:NL:HR:2019:1973, r.o. 3.5.3. 93. HR 17 december 2019, ECLI:NL:HR:2019:1973, r.o. 3.6.3. 94. Conclusie A-G Spronken 1 oktober 2019, ECLI:NL:PHR:2019:968, pnt. 4.11.3 en 4.11.5.
83. Besproken in een eerdere editie van deze kroniek (2019, p. 203-204). 96. Rb. Overijsel 22 oktober 2019, ECLI:NL:RBOVE:2019:3787.
84. Rb. Overijssel 22 oktober 2019, ECLI:NL:RBOVE:2019:3785.
85. Rb. Midden-Nederland 11 december 2019, ECLI:NLRBMNE:2019:5885; de ontneming in ECLI:NL:RBMNE:2019:5886. Zie ook: HR 12 november 2019, ECLI:NL:HR:2019:1750, alsmede de conclusie van A-G Bleichrodt 24 september 2019, ECLI:NL:PHR:2019:925, Hof Den Haag 26 november 2019, ECLI:NL:GHDHA:2019:3148. 99. Rb. Rotterdam 5 december 2019, ECLI:NL:RBROT:2019:9519. Zie ook: ECLI:NL:RBROT:2019:9522, ECLI:NL:RBROT:2019:9521, ECLI:NL: RBROT:2019:9520, ECLI:NL:RBROT:2019:9518.
86. Hof Den Haag 9 september 2019, ECLI:NL:GHDHA:2019:2426. 101. Rb. Overijsel 24 december 2019, ECLI:NL:RBOVE:2019:4909.
87. Rb. Rotterdam 10 september 2019, ECLI:RBROT2019:7259. 103. Rb. Den Haag 31 oktober 2019, ECLI:NL:RBDHA:2019:11523.
88. Rb. Rotterdam 14 oktober 2019, ECLI:NL:RBROT:2019:8110, en Rb. Den Haag 15 oktober 2019, ECLI:NL:RBDHA:2019:10842. 105. Rb. Rotterdam 8 juli 2019, ECLI:NL:RBROT:2019:6548.

Gepubliceerd in: Bijzonderstrafrecht.nl