Kroniek Ondernemingsstrafrecht

Ontwikkelingen in de regelgeving

Ter bestrijding van de computercriminaliteit is met ingang van 1 maart 2019 de Wet Computercriminaliteit III in werking getreden.50 In dit kader is het voor de praktijk van belang dat digitale opsporingsmogelijkheden en het vergaren van digitaal bewijsmaterieel niet uitsluitend een rol spelen bij cybercrimedelicten en ernstigere commune delicten.51 Uit het Besluit Onderzoek in een geautomatiseerd werk volgt namelijk dat de (heimelijke) hackbevoegdheid voor aangewezen misdrijven kan worden ingezet als het opsporingsonderzoek dat dringend vordert.52 Om flexibel in te kunnen spelen op de snelle ontwikkelingen in de criminaliteit zijn misdrijven bij AMvB aangewezen. Hieruit vloeit voort dat zelfs bij een verdenking van valsheid in geschrift, het deelnemen aan een criminele organisatie, corruptie, fraude en witwassen (opzet variant) een geautomatiseerd werk kan worden binnengedrongen om onderzoekshandelingen te verrichten.53 De praktijk leert dat bij fraudedelicten veelvuldig commune delicten zoals witwassen en/of valsheid in geschrift op de tenlastelegging prijken, waar door de heimelijke hackbevoegdheid in beeld kan komen. De doelen van de inzet van de hackbevoegdheid kunnen erin zijn gelegen om bepaalde kenmerken (zoals identiteit en locatie) van het geautomatiseerde werk of de gebruiker vast te leggen. Maar, kunnen zelfs zien op het vastleggen of ontoegankelijk maken van gegevens, het uitvoeren van stelselmatige observatie of het opnemen van communicatie of van vertrouwelijke communicatie (direct afluisteren).54 Zodra is binnengedrongen in een geautomatiseerd werk kunnen met behulp van software verschillende functionaliteiten worden ingezet. Denk hierbij aan het opnemen van geluid, het maken van screenshots, het vastleggen van toetsaanslagen55, het doorzoeken van bepaalde bestandsmappen of het op afstand installeren van software op een smartphone om een gps-functie te activeren.56

Regelgeving voor kwalificaties opsporingsambtenaren en keuring technische hulpmiddelen

De inzet van de hackbevoegdheid kan slechts worden toegepast onder strikte waarborgen. Vanuit het OM geldt als waarborg een voorafgaande toetsing van de voorgenomen inzet door de Centrale Toetsingscommissie van het OM (CTC). Voorts is een voorgaande schriftelijke machtiging van de rechter-commissaris vereist die de proportionaliteit en subsidiariteit van de inzet zal toetsen. In het beste scenario vormt de inzet van de hackbevoegdheid slechts een inmenging in het privéleven van de verdachte. De vraag is echter of een geautomatiseerd werk dat heimelijk wordt binnengedrongen slechts in gebruik is bij de verdachte.57 Het blijft dan ook een schone taak om burgers te beschermen tegen (willekeurige) inmenging door de overheid in privélevens, mede gelet op het ingrijpend karakter van de opsporingsmethodes. Niet voor niets gelden er deskundigheidseisen voor opsporingsambtenaren die lid zijn van een technisch team.58 Verder wordt een technisch hulpmiddel, dat wordt ingezet ter uitvoering van een bevoegdheid, voorafgaand aan het gebruik gekeurd door een keuringsdienst.59

Aanwijzing voor de internationale aspecten van de inzet van de hackbevoegdheid

Vanwege het wijdverbreide gebruik van geautomatiseerde werken blijft het voor de rechtsmacht relevant om te bepalen waar een geautomatiseerd werk dat wordt binnengedrongen zich bevindt. Een inbreuk op de soevereiniteit van enig ander land moet worden voor-komen. Zonder instemming van een staat mag derhalve niet zomaar van de indringende hackbevoegdheid gebruik worden gemaakt om daarmee toegang te verschaffen tot geautomatiseerde gegevens die zich in een andere staat bevinden. In dit kader is op 26 februari 2019 ten aanzien van de grensoverschrijdende inzet van de hackbevoegdheid een Aanwijzing voor de internationale aspecten gepubliceerd.60 Als blijkt dat gegevens zich niet op Nederlands territorium bevinden en bekend is wat de locatie van de gegevens is, vormt het uitgangspunt dat een rechtshulpverzoek wordt gedaan aan de bevoegde autoriteit van die staat. De aanwijzing biedt waarborgen in die gevallen waar de locatie van geautomatiseerd verwerkte gegevens juist niet op voorhand duidelijk is of zelfs onbekend blijft. In uitzonderingssituaties zal het belang van het onderzoek zorgvuldig moeten worden afgewogen tegen de mogelijke schending van de soevereiniteit van die andere staat (of staten). Uit de aanwijzing volgt dat bij het (te lang) uitblijven van een reactie van een andere staat op een rechtshulpverzoek de grensoverschrijdende inzet van de hackbevoegdheid onder omstandigheden toelaatbaar kan worden geacht. Ingeval de locatie in het buitenland tijdens het onderzoek wel bekend wordt, zal alsnog een rechtshulpverzoek worden gedaan. In afwachting van de reactie op het rechtshulpverzoek zullen opsporingshandelingen worden gestaakt. In bepaalde gevallen wordt de inzet van de bevoegdheden opvallend genoeg toch voltooid. Of de opsporingshandelingen worden gestaakt of doorgezet zal dan afhankelijk zijn van de afwegingscriteria die worden genoemd in de aanwijzing. Dit kan per concreet geval verschillen. Ingeval de locatie van de gegevens met een redelijke inspanning zelfs niet kan worden vastgesteld, wordt ervan uitgegaan dat de gegevens in Nederland staan.

Richtlijn strafvordering Oplichting

De richtlijn is per 1 maart 2019 in werking getreden en aangepast met artikel 326e Sr, dat ziet op online handelsfraude (de zogenoemde marktplaatsfraude).61 Online handelsfraude wordt alleen strafbaar gesteld voor partijen die een beroep of gewoonte ervan hebben gemaakt om goederen of diensten aan te bieden.62 Uit de richtlijn strafvordering Oplichting volgt dat onderscheid wordt gemaakt tussen veelvoorkomende vormen van oplichting en online handelsfraude. Voor online handelsfraude wordt een aparte tabel met uitgangspunten qua strafeis geraadpleegd, waarbij expliciet rekening wordt gehouden met het aantal slachtoffers en het financiële schadebedrag. Als strafverzwarende omstandigheden wegen onder andere de consequenties voor slachtoffers of derden en de mate van professionaliteit mee. Overigens valt op dat bij de mate van professionaliteit als voorbeeld het gebruik maken van Payment Service Provider zoals iDEAL wordt genoemd. Het voorbeeld van iDEAL is in die zin opvallend, aangezien dit slechts een online betaalmethode betreft. Een Payment Service provider maakt het mogelijk dat een betaalmethode kan worden aangeboden, waarbij kan worden gedacht aan Adyen, Buckaroo of Molly.

Jurisprudentie

• Digitale opsporing

In een zaak waarbij de officier van justitie inzage in de gesprekshistorie van de Telegram-Account van de verdachte wil, werd duidelijk dat Telegram niet aan de vordering ex artikel 126ng, tweede lid, Sv, zou voldoen.63 Een inhoudelijk begrijpelijke vorm zou feitelijk niet beschikbaar zijn. De Rechtbank Rotterdam oordeelt dat de officier van justitie in beginsel gerechtigd is kennis te namen van die gegevens. Hierbij wordt het doorbreken van de vertrouwelijkheid van het berichtenverkeer van belang geacht. Indien toegang tot de account van de verdachte wordt verkregen, acht de rechtbank de bemoeienis van de rechter-commissaris dan ook aangewezen. Op grond van artikel 177 Sv kan de rechter-commissaris dan opdracht geven tot het veiligstellen en kopiëren van de inhoud en de gesprekshistorie van de Telegram-account van de verdachte. Concreet heeft dit tot gevolg dat kennis mag worden genomen van gegevens die aanwezig waren op de datum van indiening van de vordering bij de rechter-commissaris. Bijzonder is overigens dat de raadkamer op dat moment nog niet in werking getreden wetgeving van belang acht: ‘(..) na invoering van de aankomende wetgeving ter zake aanvullende bijzondere opsporingsbevoegdheden in een digitale omgeving – na voorafgaande machtiging door de rechter-commissaris – nog veel verstrekkender vormen van onderzoek toegelaten zullen zijn.’ Deze route werd eerder bestempeld als het omzeilen van een in de wet neergelegde, en door de wetgever genormeerde, bijzondere opsporingsbevoegdheid.64

• Onderzoek aan de telefoon

In een zaak die voorlag bij de Rechtbank Noord-Holland is de verdachte veroordeeld voor diefstal, medeplegen van computervredebreuk en voor het deelnemen aan een criminele organisatie die tot doel had misdrijven te plegen die verband houden met een vorm van fraude die bekend staat als phishing.65 In deze zaak is bepaald dat het plaatsen van de duim van verdachte op de Iphone, zonder zijn toestemming/medewerking, niet in strijd is met het nemo tenetur-beginsel.66 Verder volstaat de rechtbank met de enkele constatering van een vormverzuim ten aanzien van het daaropvolgende onderzoek aan de smartphone.67

• Darkweb en cryptovaluta

Rechtbank Rotterdam behandelde een zaak waarbij de verdachte is veroordeeld tot het medeplegen van witwassen, waarbij bitcoins zijn omgezet in Linden Dollars en vervolgens in euro’s, die op verschillende bankrekeningen werden gestort en contant zijn opgenomen.68 Een groot deel van bitcoins zou afkomstig zijn van één handelaar van Silk Road (een inmiddels gesloten online marktplaats op het darkweb).69 De rechtbank betrekt in haar overweging dat het een feit van algemene bekendheid is dat Silk Road veelal gebruikt werd voor criminele transacties.70 De verdachte heeft verder een cruciale rol gehad in een witwasconstructie, waarbij meerdere rekeningen op zijn naam zijn geopend, terwijl hij wist wat daarvan het doel was. Van belang is dat de verdachte zelf heeft verklaard dat hij het vermoeden had dat het geld afkomstig was van drugs. Hij had zelf nauwelijks legale inkomsten en ontving wekelijks € 800. In een strafzaak waar sprake is van een gerechtvaardigd witwasvermoeden blijft de verdachte zich op zijn zwijgrecht beroepen, terwijl een verklaring van de verdachte mag worden verlangd voor de herkomst van het geld.71 Dit betekent niet dat het aan de verdachte is om aannemelijk te maken dat de geldbedragen niet van misdrijf afkomstig zijn. In deze zaak trad de verdachte gedurende een jaar op als ‘money mule’ en ontving in die hoedanigheid grote hoeveelheden geld op zijn bankrekening. Het betrof uitbetalingen door het ‘cryptocurrency exchange’-bedrijf Kraken, waar de bijschrijvingen op de bankrekeningen steeds onder de meldplicht van de banken bleef. Vervolgens werden de geldbedragen overgemaakt naar familieleden of contant opgenomen zonder kennelijke legale economische noodzaak of verklaring. Het totaal van de bijschrijvingen stond in geen verhouding tot de inkomsten uit arbeid van de verdachte. De verdachte is uiteindelijk veroordeeld voor het medeplegen van gewoontewitwassen. Opvallend is dat de rechtbank overwoog dat het een feit van algemene bekendheid is dat bitcoins dikwijls worden gebruikt in het criminele circuit, onder meer in de drugshandel. Mogelijk is hier sprake van contaminatie.72 Het feit van algemene bekendheid lijkt al dan niet bewust opgerekt te worden naar een breder omvattend begrip. Als er al sprake is van een feit algemene bekendheid in dit kader, is het de vraag of dit een extensievere uitleg betreft en zo ja, in hoeverre dit terecht is.

In twee andere voorbeelden waarbij sprake is van een gerechtvaardigd witwasvermoeden wordt er wel een verklaring gegeven over de herkomst van het geldbedrag.73 Zowel de verdachte als de partner van de verdachte zijn veroordeeld voor het medeplegen van witwassen. In de onderhavige zaken gaat het onder andere over geld dat wordt opgenomen met een bitcoin debitkaart of bitcoin prepaid creditkaartikel De ontvangen bitcoins zijn volgens de verdachte niet afkomstig uit misdrijf maar uit liefdadigheid. De verdachte heeft verklaard zijn vermogen te danken te hebben aan onbekenden die hem bitcoins hebben geschonken uit liefdadigheid, na een door hem op het darkweb geplaatste advertentie. Dit zou neer moeten komen op duizenden anonieme weldoeners, terwijl niet is toegelicht waarom zoveel onbekenden hem op het darkweb geld zouden doen toekomen. De verklaring wordt bestempeld als volslagen onwaarschijnlijk. Wel overweegt de rechtbank dat de stelling omtrent het bestaan van advertenties op het darkweb en bitcoin transacties in beginsel te verifiëren is. Pogingen om de verklaring van de herkomst verifieerbaar te maken zijn door de verdachte echter uitgebleven. In deze uitspraak valt overigens op dat een eigen onderzoek wordt aangehaald waarbij een bedrijf – dat geanonimiseerd blijft in het vonnis – heeft geconstateerd dat met vrijwel alle uitgekeerde bitcoins – direct dan wel indirect – eerdere transacties hebben plaatsgevonden ten aanzien van zogenaamde mixingservices of darkwebmarketplaces. Het Hof ’s-Hertogenbosch overwoog dat geldbedragen die zijn verduisterd en vervolgens zijn omgezet in cryptovaluta worden gekwalificeerd als het daadwerkelijk verbergen of verhullen van de criminele herkomst van de geldbedragen.74 De gedragingen worden gezien als twee verschillende verwijten: verduistering en witwassen, waardoor in casu sprake is van meerdaadse samenloop. In een arrest van het Hof Den Haag heeft de verdachte zich schuldig gemaakt aan zowel het medeplegen van witwassen als aan overtreding van de Opiumwet. Ook in deze zaak waren de geldbedragen grotendeels afkomstig van ‘darkwebmarkt’ Silk Road. Via een platform voor de handel in virtuele valuta werd in kleine hoeveelheden geld bijgeschreven op de bankrekeningen van twee ‘money mules’. Vervolgens werden de gelden contant opgenomen. De verdachte had zowel toegang tot de internetbankieromgevingen van de medeverdachten als toegang tot het platformaccount van een van de medeverdachte. In de onderhavige zaak kon met de inkomensgegevens van de verdachte geen verklaring worden gevonden voor een legale herkomst van het geld. Volgens de verdachte zouden de gelden toebehoren aan twee Nederlandse mannen die gelden uit een bedrijf naar Nederland willen halen maar zelf niet beschikken over een mogelijkheid hiervoor.75 Het hof oordeelt dat de verklaring die de verdachte heeft gegeven geen reëel tegenwicht biedt aan het vermoeden van witwassen.

• Oplichting en phishing praktijken

De Rechtbank Noord-Holland neemt het de verdachte kwalijk dat hij zijn kennis van de digitale wereld heeft misbruikt. De verdachte heeft onder andere via gehackte e-mailaccounts de inloggegevens van meerdere personen bij de webshops van Bol.com en Wehkamp.nl verkregen, waarna hij op naam van deze personen goederen uit de webshops heeft besteld.76 De goederen werden met behulp van een door de verdachte vervalst paspoort opgehaald en weer doorverkocht. Daarnaast heeft de verdachte een valse website gemaakt die sterk overeenkwam met de website van de ABN AMRO Bank. Via deze phishing-website werden slachtoffers via marktplaats.nl gevraagd om ter verificatie één eurocent over te maken. De verdachte werd vervolgens in staat gesteld om in de internetbankieren omgeving van de slachtoffers gelden over te maken naar de bankrekeningen van katvangers. De rechtbank overweegt dat de verdachte via cybercriminaliteit het vertrouwen dat iedereen moet kunnen hebben in het gebruik van een persoonlijke internetaccount, alsmede het elektronische betalingsverkeer, ernstig heeft geschaad. Het oordeel luidt dan ook dat een forse onvoorwaardelijke vrijheidsbenemende straf noodzakelijk is. Bij de Rechtbank Zeeland-West-Brabant is een verdachte vrijgesproken van grootschalige marktplaatsfraude. De enkele omstandigheid dat iemand zich voordoet als bonafide verkoper en in staat en voornemens is om de gekochte goederen te leveren, maar dit uiteindelijk niet doet, kan niet worden veroordeeld ter zake van oplichting in de zin van artikel 326 Sr. Daarvoor moet namelijk vast komen te staan dat het slachtoffer bewogen is tot afgifte van geld onder invloed van een valse naam of valse hoedanigheid.77 Een veroordelend vonnis voor oplichtingspraktijken is te vinden in een uitspraak van Rechtbank MiddenNederland. In deze zaak heeft de verdachte zich samen met de medeverdachte in georganiseerd verband schuldig gemaakt aan grootschalige computervredebreuk, bestaande uit het ontfutselen van inloggegevens en oplichting via marktplaats.nl. Dit laatste door op ‘gehackte’, betrouwbaar ogende, accounts goederen te koop aan te bieden en deze na betaling van een geldbedrag vervolgens niet te leveren.78 De Rechtbank Zeeland-West-Brabant heeft zich mogen buigen over grootschalige phishing praktijken. Kort gezegd komt het neer op de volgende werkwijze. In groten getale werden misleidende e-mails verstuurd uit naam van een bank dan wel een andere instelling, met daarin een link naar een ‘phishing website’. Op deze website werd vervolgens verzocht om gegevens achter te laten, waarmee de verdachte en de medeverdachten toegang verkregen tot de online bankieren omgeving van de slachtoffers. Er werden nieuwe pinpassen aangevraagd die uit de brievenbussen van de slachtoffers werden gevist, waarna vervolgens de rekening van de slachtoffers middels overboekingen naar ‘money mules’ werden leeggehaald. De rechtbank heeft, gelet op het feit dat de criminele organisatie op zeer professionele wijze opereerde, forse gevangenisstraffen opgelegd.79 In een andere phishingzaak waarbij op slinkse wijze de beschikkingsmacht werd verkregen over bankrekeningen van Rabobank-klanten, die vervolgens werden gebruikt om kostbare horloges en dure auto’s aan te schaffen, werden ook gevangenisstraffen opgelegd voor oplichting en voor deelname aan criminele organisatie.80 Door op een link in de e-mail te klikken kwamen slachtoffers op een website van ogenschijnlijk de Rabobank terecht. Vervolgens werden via telefoongesprekken de inlog- en signeercodes van de online omgeving van het internetbankieren verkregen. De rechtbank omschrijft het als een organisatie die zich gedurende een langere periode, op grote schaal en op professionele wijze, bezighield met phishingfraude. Ook het verzenden van phishingmails om inloggegevens van Instagram te bemachtigen met als doel om op de accounts in te loggen, wijzigingen door te voeren, advertenties te posten of zelfs hele accounts te verkopen, heeft geleid tot veroordelingen voor onder andere het medeplegen van oplichting, computervredebreuk en de aantasting van computergegevens.81

• Computervredebreuk

De Hoge Raad wees arrest in een zaak waarbij duidelijk werd dat de enkele omstandigheid dat met behulp van een scan-programma de website van de aangever werd onderzocht, waarvan het niet ondenkbaar is dat er een geslaagde aanval heeft plaatsgevonden, niet voldoende is om te kwalificeren als het binnendringen in een deel van geautomatiseerd werk. Het komt erop neer dat uit de bewijsmiddelen niet blijkt dat het gebruik van de scanprogramma’s een voltooid binnendringen in een geautomatiseerd werk heeft opgeleverd of dat het bij een poging daartoe is gebleven.82 Verder twee strafzaken waar de inloggegevens van een politiesysteem zijn gebruikt voor doeleinden die ver buiten de grenzen van de autorisatie vallen, waardoor onbevoegd gebruik is gemaakt van de servers van de politie. Ook dit wordt gezien als het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk.83

• DDoS-aanvallen

Tot slot heeft de Rechtbank Den Haag in een strafzaak geoordeeld over het voorhanden hebben en het aanbieden van een Mirai botnet en het al dan niet tezamen met anderen uitvoeren van DDoS-aanvallen op verschillende websites.84 Een Mirai botnet is kort gezegd een netwerk van met een virus geïnfecteerde ‘internet of things’-apparaten. Ter verduidelijking licht het vonnis toe dat een Mirai botnet met behulp van een zogenoemd ‘Command en Control Centre’ wordt aangestuurd vanaf de computer van de dader. Dit is in de onderhavige zaak eveneens gebeurd. Vervolgens zijn op verschillende websites DDoS-aanvallen uitgevoerd. De verdachte heeft bitcoins geëist om de DDoS-aanvallen te laten stoppen. Daarnaast is de server van zijn school gehackt en heeft de verdachte daarbij persoonlijke informatie overgenomen en gedeeld. Volgens de rechtbank zijn door de DDoS-aanvallen niet alleen storingen veroorzaakt bij de getroffen websites, maar is bovendien schade toegebracht aan de bedrijven achter die websites. Bij de DDoS-aanvallen maakte de verdachte gebruik van botnets, waarmee dus ook schade is toegebracht aan de geïnfecteerde computers en andere apparaten. De websites en servers worden onbruikbaar gemaakt en vervolgens moeten er maatregelen worden genomen om de aanval(len) af te slaan en de websites en servers te herstellen. Een DDoS-aanval is daarom een vorm van cybercriminaliteit die naar het oordeel van de rechtbank zonder meer kan worden gekwalificeerd als geweld in de zin van artikel 317 Sr. De verdachte is veroordeeld tot 377 dagen jeugddetentie, waarvan 360 dagen voorwaardelijk en een taakstraf van 120 uur, waarvan 60 uur voorwaardelijk. De jeugdige verdachte zal als bijzondere voorwaarde gedurende zijn toezicht meewerken aan de ‘Hack Right-interventie’.85 Oerlemans merkt in zijn lezenswaardige noot overigens op dat de rechtbank te kort door de bocht gaat als zij stelt dat een DDoS-aanval kan worden gekwalificeerd als overtreding van artikel 138ab Sr en artikel 138b Sr. Hij legt uit waarom een DDoS-aanval niet direct leidt tot overtreding van het delict computervredebreuk ex artikel 138a Sr, aangezien het een geautomatiseerd werk ontoegankelijk maakt en geen sprake is van het binnendringen in een geautomatiseerd werk. Voor het creëren van een botnet ligt dit overigens weer anders, aangezien hiervoor wel computervredebreuk moet worden gepleegd.

Dit bericht werd geplaatst in: Artikelen

Stuur een reactie naar de auteur