ECLI:NL:GHDHA:2017:81

Gerechtshof Den Haag

Datum uitspraak
24 januari 2017
Publicatiedatum
23 januari 2017
Zaaknummer
2200443215
Instantie
Gerechtshof Den Haag
Type
Uitspraak
Rechtsgebied
Strafrecht
Procedures
  • Hoger beroep
Rechters
Vindplaatsen
  • Rechtspraak.nl
AI samenvatting door LexboostAutomatisch gegenereerd

Veroordeling voor computercriminaliteit met malware en oplichting via internetbankieren

In deze zaak heeft het Gerechtshof Den Haag op 24 januari 2017 uitspraak gedaan in hoger beroep tegen een verdachte die zich schuldig heeft gemaakt aan ernstige computercriminaliteit. De verdachte was betrokken bij het vervaardigen en verspreiden van malware, specifiek gericht op internetbankieren. Met behulp van speciaal ontwikkelde software, waaronder de zogenaamde 'Perkele' malware, heeft de verdachte toegang verkregen tot de computers en mobiele telefoons van rekeninghouders van verschillende banken. Hierdoor kon hij inloggegevens en andere persoonlijke informatie afvangen, wat leidde tot diefstal van geld van bankrekeningen. De verdachte werd veroordeeld voor meerdere strafbare feiten, waaronder het medeplegen van het vervaardigen van banking malware, gekwalificeerde computervredebreuk, diefstal met valse sleutel, gewoontewitwassen, oplichting en valsheid in geschrift. Het hof oordeelde dat de gebruikte technieken een groot gevaar vormden voor de stabiliteit van het online betalingsverkeer en dat de verdachte een onvoorwaardelijke gevangenisstraf van 4 jaar en 6 maanden moest ondergaan. Daarnaast werd de vordering van de benadeelde partij, de ING Bank, ontvankelijk en toegewezen, maar de schadevergoedingsmaatregel werd op zaaksgerelateerde gronden afgewezen. De zaak benadrukt de ernst van cybercriminaliteit en de impact op slachtoffers en financiële instellingen.

Uitspraak

Rolnummer: 22-004432-15
Parketnummers: 10-960187-14 en 10-960182-13
Datum uitspraak: 24 januari 2017
TEGENSPRAAK

Gerechtshof Den Haag

meervoudige kamer voor strafzaken

Arrest

gewezen op het hoger beroep tegen het vonnis van de rechtbank Rotterdam van 2 oktober 2015 in de strafzaak tegen de verdachte:

[verdachte],

geboren te [geboorteplaats] ([geboorteland])
op [geboortedatum],
adres: [adres].
Onderzoek van de zaak
Dit arrest is gewezen naar aanleiding van het onderzoek op de terechtzittingen in eerste aanleg en het onderzoek op de terechtzitting in hoger beroep van dit hof van 10 januari 2017.
Het hof heeft kennisgenomen van de vordering van de advocaat-generaal en van hetgeen door en namens de verdachte naar voren is gebracht.
Tenlastelegging
Aan de verdachte is - na wijziging van de tenlastelegging ter terechtzitting in eerste aanleg - ten laste gelegd dat:

Zaak met parketnummer 10-960187-141.

Hij in of omstreeks de periode van 01 januari 2013 tot en met 31 december 2013 te Barendrecht en/of Almere en/of Rotterdam, althans in Nederland,
(meermalen)
tezamen en in vereniging met (een) ander(en), (telkens)
(een) technisch(e) hulpmiddel(en) dat/die hoofdzakelijk geschikt gemaakt en/of ontworpen was/waren tot het plegen van een misdrijf als bedoeld in artikel 138ab, tweede lid Wetboek van Strafrecht, heeft vervaardigd en/of verworven en/of ingevoerd en/of verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad,
en/of een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan, heeft verworven, verspreid of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad,
met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab lid 2 van het Wetboek van Strafrecht werd gepleegd,
immers heeft/hebben verdachte en/of zijn mededader(s) malware (webinjects en Perkele malware) ontwikkeld of laten ontwikkelen, althans vervaardigen of laten vervaardigen, welke malware hoofdzakelijk was/waren ontworpen om het misdrijf computervredebreuk te plegen, met
de bedoeling om daarmee wederrechtelijk (een) geautomatiseerd(e) werk(en) van een of meerdere bank(en) en/of bedrij(f)(ven) en/of perso(o)n(en) binnen te dringen en vervolgens inloggegevens en/of (andere) persoonlijke gegevens en/of TAN-codes ten behoeve van internetbankieren voor zichzelf en/of voor een ander over te nemen en/of af te tappen en/of (vervolgens) (die) inloggegevens en/of TAN-codes verworven, verspreid of anderszins ter beschikking gesteld en/of voorhanden gehad met de bedoeling om daarmee zichzelf of een ander toegang te verschaffen tot het telecommunicatieverkeer en het betalingsverkeer zijnde geautomatiseerd(e) werk(en) van de ING bank en/of een of meerdere andere Nederlandse bank(en) en/of zijn/haar klant(en);

2.

Hij in of omstreeks de periode van 01 maart 2013 tot en met 30 september 2014 te Barendrecht en/of Almere, althans in Nederland, (meermalen)
tezamen en in vereniging met (een) ander(en), (telkens) opzettelijk en wederrechtelijk in (een) (gedeelte van) (een) geautomatiseerd(e) werk(en), is binnengedrongen, waarbij hij en/of zijn mededader(s) zich de toegang tot dat/die geautomatiseerde werk(en) heeft verworven door het doorbreken van een beveiliging en/of een technische ingreep en/of een valse sleutel en/of door het aannemen van een valse hoedanigheid en/of enige andere feitelijkheid, en/of
vervolgens gegevens die waren opgeslagen, werden verwerkt of overgedragen door dat/die geautomatiseerde werk(en) waarin hij en/of zijn mededader(s) zich wederrechtelijk bevond(en), voor zichzelf of een ander heeft overgenomen, afgetapt of opgenomen
immers heeft/hebben verdachte en/of zijn mededader(s) computers geïnfecteerd middels webinjects en/of malware en/of (vervolgens), nadat internetbankieren werd opgestart, een (ogenschijnlijk betrouwbare) website van de ING en/of van (een) andere bank(en) getoond of laten tonen, terwijl (in werkelijkheid) een nagebootste website van de ING bank en/of van (een) andere bank(en) werd getoond, waardoor de gebruiker(s) van dat/die nagebootste website werd(en) verleid tot het invoeren van mobiele telefoongegevens en het downloaden van een applicatie op zijn/haar mobiele telefoon(s) (smartphones) welke applicatie(s) (heimelijk) was/waren voorzien van malware (Perkele), waardoor de inloggegevens en/of TAN-codes voor het verrichten van bankoverschrijvingen via internetbankieren heimelijk werden afgevangen en ter beschikking kwamen van verdachte en/of zijn mededader(s) en/of
zich met behulp van die inloggegevens toegang verschaft tot de internetbankierenomgeving van die bank(en), waarbij verdachte en/of zijn mededader(s) zich hebben voorgedaan als de rechtmatige gebruiker(s) van die inloggegevens;

3.A.

Hij, op meerdere momenten, in of omstreeks de periode van 01 maart 2013 tot en met 25 februari 2014 te Barendrecht en/of Almere en/of Rotterdam en/of Den Haag en/of Amsterdam, althans in Nederland,
tezamen en in vereniging met (een) ander(en),
(telkens) met het oogmerk van wederrechtelijke toe-eigening heeft weggenomen
meerdere geldbedragen, althans enig goed, geheel of ten dele toebehorende aan de ING-bank en/of (een) andere (Nederlandse) bank(en) en/of een of meer rekeninghouders bij die bank(en), althans aan (een) ander(en) dan aan verdachte en/of zijn mededader(s),
waarbij verdachte en/of zijn mededader(s) zich de toegang tot die plaats(en) des misdrijfs heeft/hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik heeft/hebben gebracht door middel van een valse sleutel, te weten onderschepte TAN-codes en/of onrechtmatig verworven inloggegevens en/of (andere) bankgegevens,
immers heeft/hebben verdachte en/of zijn mededader(s)
(telkens) zonder toestemming transacties (doen) verricht(en) vanaf de bankrekening(en) van (en uit naam van) die rekeninghouder(s) naar, althans ten gunste van (een) bankrekening(en) in beheer bij of onder controle van verdachte en/of zijn mededader(s) en/of vanaf de bankrekening(en) van die rekeninghouder(s) naar bankrekeningen van Coolblue BV en/of Bitonic BV en/of Real G&G en/of 3V Benelux B.V. en/of Paysafecard en/of Ukash en/of Beltegoed.nl, (telkens) met gebruikmaking van inloggegevens en/of bankgegevens en/of TAN-codes tot het gebruik waarvan verdachte en/of zijn mededader(s) niet gerechtigd was/waren,
te weten, door onder andere:
-op of omstreeks 28 mei 2013 vanaf de ING bankrekening van [aangever 1] met [nummer] een bedrag van 350 Euro over te boeken naar de rekening ten name van [A] en/of
-op of omstreeks 24 juni 2013 en/of op 25 juni 2013 vanaf de ING bankrekening van [aangever 2] met [nummer] (telkens) (een) bedrag(en) van 99 Euro en/of 239 Euro over te boeken naar de rekening van Coolblue B.V en/of
-op of omstreeks 18 juli 2013 vanaf de ING bankrekening van [aangever 3] met [nummer] een bedrag van 980,21 Euro over te boeken naar de rekening ten name van [B] en/of
-in of omstreeks de periode van 19 september 2013 tot en met 21 september 2013 vanaf de ING bankrekening van [aangever 4] met [nummer] een (totaal) bedrag van 4000 Euro (in 4 transacties van 1000 Euro) over te boeken naar de rekening van [C] en/of
-in of omstreeks de periode van 20 september 2013 tot en met 21 september 2013 vanaf de ING bankrekening van [aangever 5] met [nummer] en/of vanaf de ING bankrekening van [aangever 6] met [nummer] (telkens) een bedrag van 1000 Euro en 1000 Euro over te boeken naar de rekening van [D] en/of
-op of omstreeks 8 oktober 2013 en/of 9 oktober 2013 vanaf de ING bankrekening van [aangever 7] met [nummer] (telkens) een bedrag van 1000 Euro (en dus in totaal 2000 Euro) over te boeken naar de rekening van [E] en/of
-op of omstreeks 9 oktober 2013 vanaf de ING bankrekening van [aangever 8] met [nummer] een bedrag van 879,34 Euro over te boeken naar de rekening van [E] en/of
- op verschillende momenten of omstreeks 4 november 2013 vanaf de ING bankrekening van A.W.P. Schmitz met nummer 4662486 (telkens) een geldbedrag van in totaal 5.220,56 Euro over te boeken naar de rekeningen van Bitonic B.V. en Real G&G en/of
-op verschillende momenten op of omstreeks 6 november 2013 vanaf de ING bankrekening van [aangever 9] met [nummer] een bedrag van 4.620,00 Euro over te boeken naar de rekening van Bitonic B.V. en/of 3V Benelux B.V. en/of
- op verschillende momenten op of omstreeks 18 november 2013 en 19 november 2013 vanaf de ING bankrekeningen van [aangever 10] met [nummer] en van de ING rekening van [aangever 11] met [nummer] (telkens) een geldbedrag van in totaal 11.460,96 Euro over te boeken naar de rekeningen van Coolblue B.V. en/of BTC Direct en/of 3V Benelux BV en/of Paysafecard en/of Ukash en/of Beltegoed.nl en/of [P] en/of
-op verschillende momenten in of omstreeks de periode van 1 oktober 2013 tot en met 3 oktober 2013 vanaf (drie) ING bankrekeningen van [aangever 12] (telkens) een geldbedrag, met een totale waarde van 2.493 Euro over te boeken naar bankrekeningen ten name van [F] en/of [G] en/of
-op verschillende momenten op of omstreeks 9 oktober 2013 en 10 oktober 2013 vanaf de ING bankrekeningen ten name van [aangever 13] met nummers [nummer] en [nummer] (telkens) een geldbedrag van 1000 Euro (dus in totaal 2000 Euro) over te boeken naar een bankrekening ten name van [H] en/of
-op verschillende momenten op of omstreeks 11 oktober 2013 en 12 oktober 2013 vanaf de ING bankrekening van [aangever 14] met [nummer] een bedrag van 1000 Euro en/of een bedrag van 800 Euro over te boeken naar een bankrekening ten name van [I] en/of
-op of omstreeks 14 oktober 2013 vanaf de ING bankrekening van [aangever 15] met [nummer] een bedrag van 440 Euro over te boeken naar een bankrekening ten name van [J] en/of
-op verschillende momenten op of omstreeks 4 november 2013 en 5 november 2013 vanaf (drie) ING bankrekeningen van [aangever 16] (telkens) een geldbedrag van 1000 Euro (dus in totaal 2000 Euro) over te boeken naar een bankrekening ten name van [K] en/of
-op verschillende momenten in de periode van 5 november 2013 tot en met 7 november 2013 vanaf de ING bankrekening van [aangever 17] met [nummer] (driemaal) een bedrag van 1000 Euro en dus in totaal 3000 Euro over te boeken naar een bankrekening ten name van [L];
en

3.B.

Hij, op meerdere momenten, in of omstreeks de periode van 06 maart 2014 tot en met 30 september2014 te Barendrecht en/of Almere en/of Rotterdam en/of Reusel, althans in Nederland,
tezamen en in vereniging met (een) ander(en),
(telkens) met het oogmerk van wederrechtelijke toe-eigening heeft weggenomen
meerdere geldbedragen, althans enig goed, geheel of ten dele toebehorende aan de ING-bank en/of aan de Rabobank en/of een of meer rekeninghouders bij die bank(en), althans aan (een) ander(en) dan aan verdachte en/of zijn mededader(s),
waarbij verdachte en/of zijn mededader(s) zich de toegang tot die plaats(en) des misdrijfs heeft/hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik heeft/hebben gebracht door middel van een (of meer) valse sleutel(s), te weten onderschepte TAN-codes en/of onrechtmatig verworven inloggegevens en/of (andere) bankgegevens en/of een of meer onrechtmatig verworven (vervangende) bankpas(sen),
immers heeft/hebben verdachte en/of zijn mededader(s)
(telkens) zonder toestemming transacties (doen) verricht(en) vanaf de bankrekening(en) van (en uit naam van) die rekeninghouder(s) naar, althans ten gunste van (een) bankrekening(en) in beheer bij of onder controle van verdachte en/of zijn mededader(s) en/of (telkens) zonder toestemming transacties van die bankrekeningen (doen) verricht(en), met gebruikmaking van inloggegevens en/of bankgegevens en/of TAN-codes en/of (vervangende) bankpas(sen) en/of persoonlijke gegevens van die rekeninghouder(s), tot het gebruik waarvan verdachte en/of zijn mededader(s) niet gerechtigd was/waren,
te weten, door onder andere:
-op verschillende momenten op of omstreeks 29 september 2014 en 30 september 2014 vanaf de ING bankrekening van [aangever 18] met [nummer] diverse geldbedragen, met een totaalbedrag van 4160 Euro over te boeken naar een bankrekening ten name van [M] en/of
-op verschillende momenten op of omstreeks 18 september 2014 vanaf de Rabobank rekening van [aangever 19] een bedrag van 1250 Euro en een bedrag van 5000 Euro te pinnen met een (onrechtmatig verworven) bankpas (met pasnummer 006) ten name van [aangever 19] en/of
-op meerdere momenten op of omstreeks 9 september 2014 vanaf de SNS bankrekening van [aangever 20] met [nummer] diverse geldbedragen, met een totaalbedrag van 2700 Euro, over te boeken naar een bankrekening ten name van [N] en/of
-op verschillende momenten op of omstreeks 24 augustus 2014 vanaf de Rabobank bankrekening van [aangever 21] met [nummer] diverse geldbedragen te pinnen en/of pinbetalingen te verrichten, met een totaalbedrag van 11.210 Euro, met gebruikmaking van een (onrechtmatig verworven vervangende) bankpas ten name van [aangever 21];

4.

Hij op een of meer meerdere moment(en) in of omstreeks de periode van 01 januari 2013 tot en met 30 september 2014 te Barendrecht en/of Almere en/of Rotterdam en/of Den Haag en/of Amsterdam, althans in Nederland,
tezamen en in vereniging met een ander of anderen, althans alleen, van het plegen van witwassen een gewoonte heeft gemaakt, althans zich schuldig heeft gemaakt aan (schuld)witwassen, immers heeft hij, verdachte, en/of zijn mededader(s) (krachtens die gewoonte)
meermalen, althans eenmaal, van (een) (grote) geldbedrag(en), althans enig(e) geldbedrag(en), de werkelijke aard, de herkomst, de vindplaats, de vervreemding en/of de verplaatsing heeft verborgen en/of verhuld, althans heeft verborgen en/of verhuld wie de rechthebbende op voornoemd geldbedrag was of voornoemd geldbedrag heeft verworven en/of voorhanden gehad en/of overgedragen en/of omgezet,
immers heeft verdachte en/of zijn mededader(s)
het/de geldbedrag(en) dat/die werd(en) verkregen middels de ontwikkeling van malware en/of het infecteren (daarmee) van computers en/of mobiele telefoons en/of de vervolgens verrichte transacties vanaf bankrekeningen van derden en/of pinopnamen en/of de door middel van (gekwalificeerde) diefstal van bankpas(sen) en/of identiteitskaart(en) verworven geldbedragen,
voorhanden gehad en/of overgedragen aan zijn mededader(s) en/of omgezet in bitcoins en/of UKash en/of webmoney en/of aangewend voor het doen (verrichten) van internetaankopen (o.a. bij Bol.com en/of Bitonic BV en/of beltegoed.nl en/of 3V Benelux BV) en/of middels Western Union laten verzenden/verzonden naar het buitenland en/of (daarmee) de herkomst en/of de vervreemding van die geldbedragen verhuld,
terwijl hij wist, althans redelijkerwijs had moeten vermoeden dat dat geldbedrag - onmiddellijk of middellijk - afkomstig was uit enig misdrijf;

5.

Hij in of omstreeks de periode van 01 juni 2014 tot en met 30 september 2014 te Barendrecht en/of elders in Nederland,
tezamen en in vereniging met een ander of anderen, althans alleen,
(telkens) met het oogmerk om zich en/of (een) ander(en) wederrechtelijk te bevoordelen door het aannemen van een valse naam en/of van een valse identiteit en/of een valse hoedanigheid en/of door een of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels,
Alex Bank en/of KNAB bank en/of Lloyds Bank en/of Triodos bank en/of andere bank(en)
heeft bewogen tot het openen van bankrekeningen en/of tot de afgifte van bankpassen en/of cardreaders en/of geld en/of tot het verlenen van (andere) financiële diensten, in elk geval van enig goed en/of dienst,
immers heeft verdachte en/of zijn mededader(s) met vorenomschreven oogmerk - zakelijk weergegeven - valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid,
zich onder andere voorgedaan als:
-[aangever 22] en zich daarbij gelegitimeerd met een digitale kopie van het paspoort van die [aangever 22] en/of met een bankafschrift ten name van [aangever 22] en vervolgens de Alex Bank en/of de Knab bank schriftelijk verzocht een ASN tegenrekening te koppelen aan de bankrekening van [aangever 22] en/of
-[aangever 23] en zich bediend van een digitale kopie van een identiteitskaart ten name van [aangever 23] en/of vervolgens (met gebruikmaking van die kopie van voornoemde identiteitskaart) twee bankrekeningen heeft geopend op naam van [aangever 23] bij de KNAB bank en/of de Triodos bank heeft verzocht een betaalrekening te openen op naam van [aangever 23] en (daarbij) gebruik gemaakt van het emailadres [emailadres] en/of de Lloyds bank heeft verzocht een internet spaarrekening te openen onder de gebruikersnaam [gebruikersnaam] en/of
-[aangever 24] en zich bediend van een (kopie van een) identiteitskaart ten name van [aangever 24] en/of (vervolgens) met gebruikmaking van die (kopie van die) identiteitskaart en een kopie van een (vervalst) bankafschrift van de Triodos bank op naam van [O] en [aangever 24] twee betaalrekeningen geopend bij de KNAB bank en/of (daarbij) gebruik gemaakt van het emailadres [emailadres] en/of
waardoor de ALEX bank en/of de KNAB bank en/of de Triodos bank en/of de Lloydsbank werd(en) bewogen tot het openen van een of meerdere bankrekeningen en/of het toevoegen van (een) tegenrekening(en) en/of het verstrekken van een of meerdere bankpassen en/of creditcards en/of het verlenen van (financiële) diensten;

6.

Hij, in of omstreeks de periode van 1 juni 2014 tot en met 30 september 2014, in
Barendrecht en/of elders in Nederland,
tezamen en in vereniging met een ander, althans alleen, meermalen, althans eenmaal, een formulier of document, zijnde een geschrift dat bestemd was om tot bewijs van enig feit te dienen, valselijk heeft opgemaakt of vervalst,
immers heeft verdachte (telkens) valselijk andere personalia dan de zijne ingevuld en/of opgegeven en/of handtekening(en) gezet, zulks (telkens) met het oogmerk om die/dat geschrift(en) als echt en onvervalst te gebruiken of door anderen te doen gebruiken,
immers heeft verdachte en/of zijn mededaders, onder andere,
-(met gebruikmaking van een digitale kopie van het paspoort van [aangever 25]) een verzoek tot toevoeging van een gemachtigde als rekeninghouder aan de SNS rekening van [aangever 25] met [nummer] ingevuld en/of ondertekend met een (valse) handtekening, als ware hij die [aangever 25], en dat formulier vervolgens naar de SNS bank verzonden en/of
-een aanvraagformulier voor het koppelen van een (ASN) tegenrekening aan een rekening van de Alex bank van [aangever 22] ingevuld en ondertekend en/of dat formulier (vervolgens) naar de Alex bank verzonden en/of
-een rekeningafschrift van de ABN-AMRO van rekeningnummer [nummer] van de heer [aangever 26] vervalst door de tenaamstelling te wijzigen in [aangever 22] en daarmee te suggereren dat die [aangever 22] mederekeninghouder van voornoemde ABN-AMRO rekening is en vervolgens dat (vervalste) bankafschrift te voegen bij de per email ingediende aanvraag om bij de KNAB bank een betaalrekening te openen ten name van die [aangever 22] en die [aangever 26] en/of
-een rekeningafschrift van de Triodos bank van rekeningnummer [nummer] vervalst of doen vervalsen door bij de tenaamstelling in strijd met de werkelijkheid de naam "[aangever 24]" toe te voegen en daarmee te suggereren dat die [aangever 24] mede rekeninghouder van voornoemde Triodos rekening is en/of vervolgens een aanvraagformulier ingevuld en verzonden naar, althans een aanvraag gedaan bij de KNAB bank om (twee) bankrekeningen op naam van [aangever 24] te openen;

Zaak met parketnummer 10-960182-13 (gevoegd)7.

Hij op een of meerdere tijdstip(pen) gelegen
in of omstreeks de periode van 01 november 2013 tot en met 11 november 2013 te Barendrecht en/of Hoogvliet, tezamen en in vereniging met een ander of anderen, althans alleen,
telkens
opzettelijk en wederrechtelijk in een of meer geautomatiseerde werk(en), te weten (een) computer(s) en/of server(s), of in een deel daarvan, (die toebehoren aan of in gebruik is/zijn bij [garagebedrijf]),
is/zijn binnengedrongen door de toegang tot dat/die werk(en) te verwerven door doorbreken van een beveiliging en/of door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een en/of valse hoedanigheid, door zich met behulp van eerder (onrechtmatig) verkregen IP-adres en/of wachtwoord de toegang tot die computer(s) en/of server(s) of gedeelte daarvan, te verschaffen
en/of (waarna)
hij, verdachte, en/of zijn mededader(s) door tussenkomst van de/het geautomatiseerd(e) werk(en) waarin hij is binnengedrongen de toegang heeft verworven tot één of meer geautomatiseerde werk(en) van één of meer derde(n) (zijnde Bitonic en/of BTC Direct en/of Bitplaats en/of andere geautomatiseerde werken),
welk feit hij, verdachte, telkens heeft gepleegd door tussenkomst van een openbaar telecommunicatienetwerk (zijnde geautomatiseerde werk(en), te weten (een) computer(s) en/of server(s), of in een deel daarvan, (die toebehoren aan of in gebruik is/zijn hij [garagebedrijf]);

8.

Hij, op meerdere momenten, in of omstreeks de periode van 5 november 2013 tot en met 11 november 2013 te Barendrecht en/of Almere en/of Rotterdam en/of Den Haag en/of Leiden en/of Purmerend, althans in Nederland, tezamen en in vereniging met (een) ander(en),
(telkens) met het oogmerk van wederrechtelijke toe-eigening heeft weggenomen
een (totaal)bedrag van 14.658,67 Euro, althans meerdere geldbedragen, althans enig goed, geheel of ten dele toebehorende aan [stichting], althans aan (een) ander dan aan verdachte en/of zijn mededader(s),
waarbij verdachte en/of zijn mededader(s) zich de toegang tot die plaats(en) des misdrijfs heeft/hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik heeft/hebben gebracht door middel van een valse sleutel, te weten een gestolen of verduisterde bankpas van [stichting] en/of onrechtmatig verworven inloggegevens en/of onrechtmatig verkregen bankgegevens en/of een verworven vals identiteitsbewijs ten name van [aangever 27],
immers heeft/hebben verdachte en/of zijn mededader(s)
(telkens) zonder toestemming transacties (doen) verricht(en) vanaf de Rabobank bankrekening van [stichting] met rekeningnummer [nummer] en/of [aangever 27] en uit naam van [aangever 27], althans uit naam van de rekeninghouder van [stichting] meerdere (internet)aankopen gedaan, te weten Bitcoins tot een bedrag van 12.648,18 Euro, bij Bitonic en/of Bitplaats en/of BTC Direct, met gebruikmaking van inloggegevens en/of bankgegevens van [stichting] en/of een vals identiteitsbewijs ten name van [aangever 27] en/of iDEAL van [stichting] tot het gebruik waarvan verdachte en/of zijn mededader(s) niet gerechtigd was/waren
en/of
(telkens) zonder toestemming geld gepind vanaf de bankrekening van [stichting], tot een bedrag van 2000 Euro, met gebruikmaking van de (gestolen of verduisterde) bankpas van [stichting] en/of [aangever 27]
en/of
(telkens) zonder toestemming (een) transactie(s) (doen) verricht(en) vanaf de bankrekening van [stichting] en/of [aangever 27] en uit naam van [aangever 27], althans de rekeninghouder van [stichting] meerdere (internet)aankopen gedaan, te weten beltegoed tot een bedrag van 10,49 Euro, met gebruikmaking van inloggegevens en/of iDEAL van [stichting] tot het gebruik waarvan verdachte en/of zijn mededader(s) niet gerechtigd was/waren.
Procesgang
In eerste aanleg is de dagvaarding voor wat betreft de woorden ‘onder andere’ in de feiten 3A, 3B, 5 en 6 nietig verklaard. De verdachte is in eerste aanleg door de rechtbank veroordeeld ter zake van het onder:
- 1 ( medeplegen van het met het oogmerk dat daarmee computervredebreuk met overname van gegevens wordt gepleegd vervaardigen, verwerven en voorhanden hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt is gemaakt en ontworpen tot het plegen van een zodanig misdrijf, meermalen gepleegd);
- 2 ( medeplegen van computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, meermalen gepleegd);
- 3 A, 3B, 8 (diefstal in vereniging, waarbij de schuldige het weg te nemen goed onder zijn bereik heeft gebracht door middel van valse sleutels, meermalen gepleegd);
- 4 ( medeplegen van: van het plegen van witwassen een gewoonte maken);
- 5 ( medeplegen van oplichting, meermalen gepleegd);
- 6 ( medeplegen van valsheid in geschrift, meermalen gepleegd); en
- 7 ( medeplegen van computervredebreuk, gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, terwijl de dader vervolgens door tussenkomst van het geautomatiseerde werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerde werk van een derde, meermalen gepleegd);
ten laste gelegde.
Daarbij is de verdachte veroordeeld tot een gevangenisstraf van 39 maanden met aftrek van voorarrest, waarvan 6 maanden voorwaardelijk met een proeftijd van
2 jaar, waarbij bijzondere voorwaarden zijn opgelegd als nader omschreven in het vonnis waarvan beroep.
Voorts is door de rechtbank een beslissing genomen omtrent de in beslag genomen en nog niet teruggegeven voorwerpen en omtrent de vorderingen van de benadeelde partijen Rabobank Nederland, ING Bank Nederland B.V. en SNS Bank N.V., als nader omschreven in het vonnis waarvan beroep.
De officier van justitie heeft tegen het vonnis hoger beroep ingesteld.
Vordering van de advocaat-generaal
De advocaat-generaal heeft gevorderd dat het vonnis waarvan beroep zal worden bevestigd behoudens ten aanzien van de opgelegde gevangenisstraf. Zij heeft gevorderd dat de verdachte zal worden veroordeeld tot een gevangenisstraf van 5 jaar, met aftrek van voorarrest. Voorts heeft zij gevorderd dat, in afwijking van het vonnis, de schadevergoedingsmaatregel zal worden opgelegd ten aanzien van de vordering van de benadeelde partij ING Bank.
Het vonnis waarvan beroep
De behandeling van de zaak in hoger beroep heeft het hof niet gebracht tot andere beschouwingen en beslissingen dan die van de eerste rechter (ECLI:NL:RBROT:2015:7038), behalve ten aanzien van de oplegging van de straf (en maatregel) en de motivering daarvan.
In dit opzicht zal het hof het vonnis waarvan beroep vernietigen. Voor het overige verenigt het hof zich met de gronden en beslissingen in het vonnis, met dien verstande dat het hof daarin de hierna te vermelden aanvulling aanbrengt.

Bewijsoverwegingen met betrekking tot feit 1

1.1.
Verweer: is een webinject een technisch hulpmiddel waarmee in een geautomatiseerd werk kan worden binnengedrongen?
Volgens de raadsman komt het onder 1 tenlastegelegde feit er in de kern op neer dat de verdachte tezamen en in vereniging met anderen technische hulpmiddelen, die hoofdzakelijk geschikt waren gemaakt en waren ontworpen voor het plegen van een misdrijf als bedoeld in artikel 138ab, lid 2 van het Wetboek van Strafrecht (i.e. computervredebreuk, waarbij vervolgens ook gegevens worden overgenomen, worden afgetapt of opgenomen), heeft vervaardigd, verworven en voorhanden heeft gehad met het oogmerk om daarmee een misdrijf als bedoeld in artikel 138ab, lid 2 van het Wetboek van Strafrecht te plegen. Uit de tenlastelegging en het verdere onderzoek ter terechtzitting blijkt voorts dat met voormelde technisch hulpmiddelen wordt gedoeld op
webinject(s)en Perkele-software.
Binnen die context kan, aldus de raadsman van verdachte
– zakelijk weergeven - een webinject, als in deze zaak aan de orde, niet worden aangemerkt als een “technisch hulpmiddel, dat hoofdzakelijk geschikt gemaakt en ontworpen was voor het plegen van gekwalificeerde computervredebreuk”, aangezien deze webinject op zichzelf beschouwd niet (mede) als functionaliteit had dat zij bewerkstelligde dat kon worden binnengedrongen in de computer van de gebruikers waarop de webinject werd geplaatst. De functionaliteit van de webinject was in die zin beperkt, dat deze (slechts) een namaakwebsite of webpagina toonde in plaats van de originele door de gebruiker benaderde website en een beperkt aantal gegevens doorstuurde naar het zogenaamde controlepaneel van de plaatser(s) van de webinject. Het binnendringen van de computers van de gebruikers om de webinjects te kunnen plaatsen heeft plaatsgevonden met behulp van andersoortige malware, bij het ontwerp, vervaardiging (enz.) waarvan de verdachte niet betrokken is geweest, terwijl voorts ook eventuele gedragingen met betrekking tot deze andersoortige malware niet ten laste zijn gelegd.
De raadsman is dan ook van oordeel dat de verdachte van het onder 1 ten laste gelegde dient te worden vrijgesproken.
Het hof overweegt naar aanleiding van dit verweer het navolgende:
1.2
Vastgestelde feiten omtrent de modus operandi
Uit de bewijsmiddelen blijkt dat in de tenlastegelegde periode vele klanten van ING Bank het slachtoffer zijn geworden van computercriminaliteit. Daarbij werd door de plegers een geraffineerde combinatie gebruikt van het plaatsen van een zogenaamde
banking trojanop de computer van internetbankierende klanten van ING Bank en het (doen) installeren van een speciaal geprepareerde applicatie op de mobiele telefoons van die klanten voor zover het ging om telefoons die waren uitgerust met een Androidbesturingssysteem.
De gebruikte werkwijze hield meer in concreto in dat computers eerst werden “besmet” doordat de gebruikers/rekeninghouders op hun reeds als onderdeel van een botnet gecompromitteerde computers ongewild een zogenaamde webinject werd geïnstalleerd. Een webinject is een stukje software waarmee na plaatsing op een bepaalde computer binnen de op die computer gebruikte internetbrowser (bijvoorbeeld Google) het uiterlijk van een door de gebruiker van die computer benaderde website c.q. webpagina zeer professioneel kan worden gemanipuleerd. In het onderhavige geval is onder meer de wijze waarop de website (mijn.ing.nl) van ING Bank waarop klanten inlogden om te internetbankieren op hun computer werd getoond, gemanipuleerd.
Dit had tot gevolg dat ING-klanten die voor internetbankieren contact zochten met de ING-website een zeer op die website (c.q. relevante webpagina) gelijkende, maar gemanipuleerde, pagina te zien kregen. Ook kregen deze ING-klanten een – zeer sterk op een echt bericht van ING Bank gelijkend – bericht op hun scherm te zien omtrent nadere “beveiligingsmaatregelen”. In de veronderstelling dat zij waren ingelogd op mijn.ing.nl voerden zij vervolgens op de “valse” webpagina onder meer hun gebruikersnaam, rekeningnummer en wachtwoord in. De betreffende ING-klanten werd vervolgens tevens gevraagd om “ter verificatie” hun mobiele telefoongegevens (onder meer merk, type en nummer) op een aantal daartoe in de “valse” webpagina opgenomen antwoordvelden in te voeren. Zonder de invoer van deze gegevens kon men niet verder in de website c.q. geen betalingen verrichten.
De door de ING-klanten ingevoerde gegevens werden vervolgens doorgeleid naar een zogenaamd controlepaneel, dat onder controle stond van de verdachte of andere bij het plegen van de feiten betrokken personen. Dit controlepaneel was zo ingesteld, dat zodra bleek dat een ING-klant over een mobiele telefoon met Androidbesturingssysteem beschikte, aan de betreffende ING-klant een – zeer sterk op een echt bericht van ING Bank gelijkend – sms-bericht werd gezonden. Had de ING-klant geen Android-toestel dat werd een mededeling getoond dat de beveiligingsverificatie niet nodig was en kreeg de gebruiker weer normaal toegang tot de (werkelijke) website van ING Bank.
Het aan gebruikers van Android-telefoons gezonden sms-bericht hield in dat een zogenaamd veiligheidscertificaat van ING beschikbaar was dat op de mobiele telefoon welke door hem werd gebruikt bij het internetbankieren diende te worden geïnstalleerd. In het sms-bericht was een link ingesteld om vanaf een website (waarvan de naam “ing-certificaat” suggereerde dat het om een van ING Bank afkomstige beveiliging ging) het betreffende bestand te downloaden. Het betreffende bestand was een speciaal voor Android telefoons (in de vorm van een zogenaamd apk.bestand) geconfigureerd stukje software, dat breder bekend staat als Perkele-malware.
Nadat de ING-klant dit apk-bestand/deze Perkele-software (feitelijk een klein computerprogramma) op zijn mobiele telefoon had geïnstalleerd werd hem gevraagd een wachtwoord op te geven en een activatiecode te genereren. Pas nadat deze code was ingevoerd in de webinject op de computer verkreeg de betreffende ING-klant weer toegang tot de werkelijke website van ING en kon hij weer gewoon internetbankieren.
In de broncode van de geïnstalleerde Perkele-software stond echter het telefoonnummer van een bij het plegen van de strafbare feiten betrokken derde vermeld. Naar dit laatste nummer werden vervolgens ook de sms-berichten doorgestuurd die bestemd waren voor de eigenlijke gebruiker van de telefoon. De eigenlijke gebruiker merkte hier niets van.
De installatie van de genoemde Perkele-software had derhalve tot gevolg dat ook de door ING Bank aan de (telefoon van de) gebruiker verstuurde sms-berichten, betreffende de TAN-codes die noodzakelijk zijn voor het doen van transacties via ING-internetbankieren niet meer op de telefoon van de eigenlijke rechthebbende terechtkwamen, maar op de mobiele telefoon van andere, bij het plegen van deze feiten betrokken, personen.
Met de door de bank toegezonden TAN-codes en de overige reeds (via de webinject) verkregen informatie omtrent de bankrekening, bankpas en de rekeninghouder konden de bij het plegen van dit feit betrokken personen vervolgens hun mobiele telefoon configureren en autoriseren als ware het de telefoon van de eigenlijke rechthebbende op de internetbankrekening. Vervolgens konden zij bedragen vanaf de betreffende bankrekeningen overboeken naar rekeningen van derden, waarbij veelal rekeningen werden gebruikt van mensen die daartoe tegen een bepaalde vergoeding hun rekening ter beschikking hadden gesteld. Vervolgens werden de overgemaakte gelden veelal zeer snel in contanten opgenomen of omgezet in andere betaalmiddelen, goederen of direct of indirect overgemaakt naar het buitenland.
1.3.
Het oordeel van het Hof
Allereerst is het hof van oordeel dat een webinject als het onderhavige, beschouwd als zijnde een samenstel van instructies welke bewerkstelligt dat een bepaald geautomatiseerd werk gegevens op een andere wijze verwerkt (c.q. presenteert) dan zonder die set van instructies het geval zou zijn geweest, in enge zin aangemerkt dient te worden als een “technisch hulpmiddel” zoals bedoeld in (onder meer) de artikelen 138ab jo. 139d van het Wetboek van Strafrecht.
Naar het hof begrijpt is zulks ook niet door de verdediging betwist.
Het hof overweegt voorts dat uit de bewijsmiddelen blijkt dat de ontwerpers/vervaardigers van de betreffende webinject deze specifiek hebben ontworpen met het oogmerk om deze te plaatsen in de computer van een ING-klant tot wiens computer zij zich reeds via derden wederrechtelijk toegang hadden verschaft. Het is naar het oordeel van het hof eveneens evident dat het primaire doel en daarmee het oogmerk van de vervaardigers van deze webinject was, het een gebruiker doen bewegen om via zijn computer bepaalde gegevens prijs te geven en deze gegevens vervolgens “over te nemen, af te tappen dan wel op te nemen” als bedoeld in artikel 138ab, tweede lid van het Wetboek van Strafrecht. Gebleken is dat de gebruikte webinject(s) ook voor dat doel geschikt was c.q. waren.
Voor bewezenverklaring van het onder 1 aan de verdachte tenlastegelegde feit (overtreding van artikel 139d jo. 138ab tweede lid van het Wetboek van Strafrecht) is echter niet alleen vereist dat de ontwikkelde webinject als technisch hulpmiddel kan worden aangemerkt en dat deze geschikt en bedoeld was voor het overnemen (enz.) van gegevens, maar tevens dat bewezen kan worden dat deze webinject (hoofdzakelijk) bestemd c.q. geschikt was tot het plegen van het misdrijf van gekwalificeerde computervredebreuk als bedoeld in artikel 138ab, (eerste en) tweede lid van het Wetboek van Strafrecht.
Artikel 138ab, eerste lid van het Wetboek van Strafrecht stelt - zakelijk weergegeven - strafbaar het wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is onder meer, wederom blijkens de delictsomschrijving van artikel 138ab, eerste lid van het Wetboek van Strafrecht, niet alleen sprake in geval van “het doorbreken van een beveiliging”, maar ook indien “de toegang tot het werk is verworven door een technische ingreep”. Naar het oordeel van het hof is van “binnendringen door een technische ingreep” als bedoeld in voormelde bepaling sprake, indien – zoals in het onderhavige geval – zonder toestemming of medeweten van de eigenlijke gebruiker op diens computer een technisch hulpmiddel zoals het onderhavige webinject wordt geplaatst dat zowel bewerkstelligt dat die computer niet meer (geheel) handelt overeenkomstig de instructies van de eigenlijke gebruiker (of overeenkomstig zijn normale werking) als dat gegevens uit die computer worden gekopieerd, afgetapt, dan wel overgenomen (c.q. verplaatst) en vervolgens worden verzonden naar een niet daartoe door de eigenlijke gebruiker geautoriseerde derde of derden (vgl. Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:HR:2011:BN9287), NJ 2012/62). Immers, door middel van de plaatsing van een dergelijke webinject verschaft men zich feitelijk en wederrechtelijk (althans: gedeeltelijke) toegang tot de werking van die computer (c.q. van de daarop aanwezige browser) en tot de daarop verwerkte c.q. aanwezige gegevens.
Gezien voorgaande feiten en omstandigheden is het hof dan ook van oordeel dat de onderhavige webinject, gezien zijn specifieke functionaliteiten en in aanmerking nemende het specifieke doel waartoe het ontworpen en vervaardigd is, reeds op zichzelf dient te worden aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab, tweede lid van het Wetboek van Strafrecht, en wel in het bijzonder tot het wederrechtelijk binnendringen in een geautomatiseerd werk (of in een deel daarvan), waarbij de toegang tot het werk wordt verkregen door een technische ingreep teneinde vervolgens gegevens die zijn opgeslagen, worden verwerkt en/of worden overgedragen door middel van dat werk voor zichzelf of een ander over te nemen, af te tappen en/of op te nemen.
Het hof verwerpt derhalve het tot een andere conclusie leidende verweer van de raadsman.
2. Medeplegen vervaardigen en voorhanden hebben van de webinject en Perkele-malware
Het hof stelt voorop dat de betrokkenheid aan een strafbaar feit als medeplegen kan worden bewezenverklaard, indien is komen vast te staan dat bij het begaan daarvan sprake is geweest van een voldoende nauwe en bewuste samenwerking.
Uit de bewijsmiddelen leidt het hof met betrekking tot de betrokkenheid van de verdachte bij het onder 1 tenlastegelegde onder meer het volgende af:
  • verdachte heeft met een malware-ontwerper die zich [Z] noemt overlegd over het uitbesteden van de besmetting van de computers van de slachtoffers aan een zogenaamd botnet. Verdachte blijkt daarbij een initiërende rol te hebben;
  • verdachte heeft in mei/juni 2013 intensief chatcontact met [Z] over samenwerking om Perkele-malware en de bijhorende webinject (inclusief controlepaneel) op computers van slachtoffers te installeren;
  • verdachte heeft vervolgens bij een derde Perkele-malware en een voorbeeld van een webinject aangekocht en deze naar [Z] gestuurd;
  • verdachte heeft daarna [Z] bericht dat hij deze webinject niet goed genoeg vindt en hij deze herschreven wil hebben conform de door hem, verdachte, aangeleverde screenshots;
  • verdachte heeft vervolgens [Z] opdracht gegeven om de voorbeeld-webinject aan te passen om deze te hosten op een server. Hiervoor dient een server (inclusief domein) gereserveerd en ingesteld te worden. Daarnaast draagt [Z] zorg voor het maken van een controlepaneel voor de webinject en regelt hier tevens een server, domein en de beveiliging voor. Verdachte geeft hiervoor c.q. hierbij suggesties;
  • verdachte heeft het zogenaamde “gate sms-nummer” aan [Z] verstrekt, waarna [Z] de sms-service in de malware heeft verwerkt;
  • verdachte heeft opties aan [Z] doorgegeven waar de Perkele-software kon worden gehost;
  • verdachte heeft [Z] meerdere aanwijzingen en correcties doorgegeven met betrekking tot de inrichting van het controlepaneel van de webinject en Nederlandse teksten doorgegeven die gebruikt zijn in de webinject en de sms-berichten die de slachtoffers op hun mobiele telefoon ontvingen;
  • verdachte heeft illustraties/afbeeldingen (zoals schermontwerpen en icoontjes) gekopieerd/ontworpen die [Z] vervolgens heeft gebruikt voor de webinject en de vormgeving op de schermen van de mobiele telefoons van de slachtoffers;
  • verdachte heeft zijn mobiele telefoonnummer laten opnemen in de Perkele-malware (waaronder de ing.apk file), zodat hij op zijn toestel de afgevangen TAN-codes van slachtoffers kon ontvangen;
  • verdachte heeft de onkosten voor het ontwikkelen en de inzet van de malware (mede)betaald.
Op grond van het voorgaande oordeelt het hof dat sprake is geweest van een voldoende nauwe en bewuste samenwerking tussen de verdachte en zijn medeverdachte(n) die in de kern bestaat uit een gezamenlijke uitvoering van het ontwerpen en de vervaardiging van genoemde webinject. Het hof verwerpt dan ook het daartegen gevoerde verweer. Daarmee acht het hof het tenlastegelegde medeplegen bewezen.
Het vonnis waarvan beroep dient derhalve - behoudens voor zover het wordt vernietigd - onder aanvulling van gronden te worden bevestigd.
Strafmotivering
Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.
Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen.
Feiten waarop de strafoplegging is gebaseerd
Blijkens de hiervoor reeds deels in detail beschreven handelwijze heeft de verdachte zich samen met anderen schuldig gemaakt aan grootschalige en langdurige criminele activiteiten, die opvallen door professionaliteit, geraffineerdheid en de intensieve - soms zelfs ook internationale - samenwerkingsverbanden.
De daders waren uiteindelijk in staat om zich onbevoegdelijk toegang tot de bankrekeningen van derden te verschaffen en vervolgens van die rekeningen geld over te maken c.q. op te nemen. Zij hebben verschillende methoden toegepast om hun eigen rol hierbij zoveel mogelijk te verhullen. Zo werd elektronisch geld gekocht zoals bijvoorbeeld bitcoins. Ook werden gelden overgemaakt naar bankrekeningen van zogenaamde
moneymules. Een aantal moneymules heeft hier bewust aan meegewerkt, maar een aantal van hen wist er niets van. In die gevallen hadden de daders zich tegenover de banken met een valse identiteit gepresenteerd om zo op die naam een bankrekening met bijbehorende producten zoals pinpassen te verkrijgen. Om deze oplichtingen te laten slagen werd gebruik gemaakt van legitimatiebewijzen al dan niet in combinatie met andere documenten die soms ook waren vervalst. Hierdoor werd het
cashenen daarmee het witwassen van het buitgemaakte geld mogelijk gemaakt. De verdachte heeft zich als medepleger aan al deze feiten schuldig gemaakt.
Tot slot heeft de verdachte zich schuldig gemaakt aan het samen met anderen digitaal plunderen van de bankrekening van [stichting]. In totaal is ongeveer
€ 13.000,- aan bitcoins gekocht met geld dat was overgemaakt door met onrechtmatig verkregen inloggegevens in te loggen bij de bank. Om zijn sporen zo veel mogelijk te wissen, werkte de verdachte via het computernetwerk van een garagebedrijf, waartoe hij ook op onrechtmatige wijze toegang had verkregen.
Ernst van de feiten
Er is sprake van ernstige strafbare feiten. Met de rechtbank is het hof van oordeel dat de verdachte en zijn medeverdachten het Nederlandse systeem van internetbankieren op grove wijze hebben aangevallen. Niet alleen een groot aantal rekeninghouders, maar ook bankinstellingen zijn gedupeerd geraakt. Daarnaast is het vertrouwen dat een ieder moet kunnen hebben in de integriteit van het elektronische betalingsverkeer geschaad. Het wegvallen van dat vertrouwen zou het maatschappelijk en economisch verkeer kunnen ontwrichten. Verreweg de meeste personen en bedrijven zijn namelijk afhankelijk van dit systeem van betalingsverkeer.
Bijzonder laakbaar zijn ook de feiten waarbij [stichting] gedupeerd is. Het betreft namelijk een voedselbank, zijnde een maatschappelijke organisatie met relatief beperkte middelen die zich met vrijwilligers inzet voor kwetsbare personen in onze samenleving. Ook in dit geval had de verdachte echter uitsluitend oog voor zijn eigen financieel gewin.
Persoonlijke omstandigheden
Het hof heeft acht geslagen op een de verdachte betreffend uittreksel Justitiële Documentatie d.d.
6 januari 2017, waaruit blijkt dat de verdachte niet eerder onherroepelijk is veroordeeld voor het plegen van een strafbaar feit.
Het hof heeft eveneens acht geslagen op vier door de Reclassering opgestelde adviezen d.d. 27 februari 2014,
3 oktober 2014, 28 juli 2015 en 5 december 2016.
De strafmaat
Bij het bepalen van de strafmaat slaat het hof niet alleen acht op de hiervoor geschetste feiten en omstandigheden, maar hanteert het ook de volgende uitgangspunten. Het hof beschouwt de bewezenverklaarde feiten 1, 2 en 3(A en B) (het vervaardigen van banking malware, het daarmee binnendringen in computers en telefoons en het vervolgens leegtrekken van bankrekeningen van slachtoffers met de verworven gegevens) als de kern van de strafzaak en daarmee uitgangspunt voor de op te leggen straf. Het strafmaximum voor de gezamenlijkheid van deze feiten wordt in beginsel bepaald door feit 3(A en B), zijnde het feit waarop de hoogste straf is gesteld, hetgeen ingevolge artikel 311, eerste lid, aanhef en onder 5, in verbinding met artikel 57, tweede lid, van het Wetboek van Strafrecht, resulteert in een gevangenisstraf van ten hoogste acht jaar. Weliswaar is ook gewoontewitwassen bewezen verklaard en staat daarop een hogere maximumstraf, maar het hof is van oordeel dat het hanteren van dat strafmaximum in de onderhavige zaak geen recht doet aan de essentie van de zaak. Witwassen is immers een bijkomend feit geweest en is als zodanig niet bepalend geweest voor het handelen van de verdachte en zijn medeverdachten.
Voorts is het hof van oordeel dat het ten aanzien van de bewezen verklaarde diefstallen met behulp van een valse sleutel - gezien het aantal bewezen diefstallen en de daarmee gemoeide bedragen - niet zonder meer voor de hand ligt om bij de straftoemeting in deze zaak juist op die feiten het zwaarste accent te leggen. In het verlengde daarvan ligt het evenmin in de rede om de op die feiten wettelijk gestelde maximumstraf van acht jaar als ijkpunt voor de straftoemeting te nemen. Naar het oordeel van het hof is het in het onderhavige zaak passender om aansluiting te zoeken bij de maximumstraf die is gesteld op de delicten die betrekking hebben op het vervaardigen van malware en het daarmee binnendringen in computers en telefoons. Ingevolge de artikelen 138ab, tweede lid en 139d, derde lid in verbinding met artikel 57, tweede lid van het Wetboek van Strafrecht resulteert dat in een gevangenisstraf van ten hoogste vijf jaar en vier maanden. Dat strafmaximum heeft het hof in de onderhavige zaak dan ook als oriëntatiepunt bij zijn straftoemeting gehanteerd.
Hoe de onderhavige zaak zich verhoudt tot dat strafmaximum wordt mede bepaald door de straffen die zijn opgelegd in andere zaken waarin computervredebreuk, al dan niet in samenhang met het vervaardigen van malware, bewezen werd verklaard. Ook speelt in die verhouding een belangrijke rol welke mate van potentieel gevaar van ontwrichting van het thans in toenemende mate online geworden betalingsverkeer en het daarmee samenhangende maatschappelijke belang van behoud van stabiliteit van en vertrouwen in dat systeem, van de onderhavige zaak is uitgegaan in verhouding tot die andere zaken. Het hof is van oordeel dat het gevaar van ontwrichting, ten opzichte van die andere zaken, in de onderhavige zaak aanzienlijk is geweest. Hierbij heeft het hof met name ook gewicht toegekend aan het gegeven dat de software specifiek was ontwikkeld voor aanvallen op bepaalde banken c.q. hun rekeninghouders, de bijzondere kwaliteit en brede toepasbaarheid van de ontwikkelde en gebruikte malware, de ingenieuze wijze waarop slachtoffers en de betrokken banken werden misleid door de combinatie van diverse vormen van malware en de gebleken effectiviteit van (de combinatie van) de (mede) door de verdachte ontwikkelde malware. Dat rekent het hof de verdachte zwaar aan. Daarmee heeft de verdachte het vertrouwen dat eenieder zou moeten kunnen hebben in de integriteit van het bankwezen in het algemeen en het elektronische betalingsverkeer in het bijzonder op ernstige wijze geschaad.
Met name vanwege het substantiële gevaar voor ontwrichting van (het vertrouwen in) het digitale betalingsverkeer, en de mate waarin dat gevaar ook is gerealiseerd, is het hof van oordeel dat de door de rechtbank opgelegde straf, zelfs als het hof daarbij de omstandigheid betrekt dat de verdachte voordien een blanco strafblad had, onvoldoende recht doet aan de ernst van de feiten, met name die welke onder 1, 2, 3(A en B) en 8 bewezen zijn verklaard.
Het hof is - alles overwegende - van oordeel dat slechts een geheel onvoorwaardelijke gevangenisstraf van na te melden duur een passende en geboden reactie vormt.
Vordering van benadeelde partij ING Bank Nederland B.V.
Schadevergoedingsmaatregel
Zowel door de benadeelde partij ING Bank Nederland B.V. als door de advocaat-generaal is verzocht om oplegging van de schadevergoedingsmaatregel als bedoeld in artikel 36f, eerste lid, van het Wetboek van Strafrecht. Als argumenten daarvoor zijn naar voren gebracht dat 1) de kosten van het inhuren van een incassobureau om de vordering te innen hoger zijn dan het geclaimde bedrag, met als gevolg dat ING afziet van incasso, 2) een incasso van deze vordering voor de bank een a-typisch traject is, omdat het voor één persoon moet worden ingericht, 3) een eventuele hoofdelijke betalingsverplichting een complicerende factor is en 4) wanbetaling valt te verwachten, zodat vervangende hechtenis die met de maatregel gepaard gaat een voordeel biedt.
Het hof overweegt daartoe als volgt.
De benadeelde partij ING Bank Nederland B.V. is een zeer professionele partij, die ervaring heeft met incassotrajecten. De toegewezen vordering behelst feitelijk één toegewezen bedrag dat kan worden verhaald op twee (dan wel vier) verdachten. De daarmee gemoeide invorderingskosten lijken, ook bezien in relatie tot de omvang van het toegewezen bedrag, op voorhand niet onevenredig hoog. De verdachte heeft een vaste woon- en verblijfplaats in Nederland, een arbeidsperspectief en heeft voorts – zoals door de benadeelde partij ook is erkend - reeds buiten rechte een concreet en niet op voorhand als irreëel te betitelen voorstel aan de benadeelde partij gedaan tot gedeeltelijke betaling van de vordering, zodat niet reeds thans aannemelijk is dat de verdachte zich aan zijn betalingsverplichtingen zal willen onttrekken of slechts na dreiging met hechtenis tot betaling zal overgaan. Gelet op deze omstandigheden ziet het hof af van het opleggen van de schadevergoedingsmaatregel.

BESLISSING

Het hof:
Vernietigt het vonnis waarvan beroep ten aanzien van de opgelegde gevangenisstraf en de motivering daarvan en doet in zoverre opnieuw recht.
Veroordeelt de verdachte tot een
gevangenisstrafvoor de duur van
4 (vier) jaren en 6 (zes) maanden.
Beveelt dat de tijd die door de verdachte vóór de tenuitvoerlegging van deze uitspraak in enige in artikel 27, eerste lid, of artikel 27a van het Wetboek van Strafrecht bedoelde vorm van voorarrest is doorgebracht, bij de uitvoering van de opgelegde gevangenisstraf in mindering zal worden gebracht, voor zover die tijd niet reeds op een andere straf in mindering is gebracht.
Bevestigt het vonnis waarvan beroep voor het overige, met inachtneming van het hiervoor overwogene.
Dit arrest is gewezen door mr. Chr.A. Baardman, mr. C.J. van der Wilt en mr. A. Kuijer, in bijzijn van de griffier mr. S. Rommen.
Het is uitgesproken op de openbare terechtzitting van het hof van 24 januari 2017.
mr. Chr.A. Baardman is buiten staat dit arrest mede te ondertekenen.