ECLI:NL:HR:2023:321

• Datum uitspraak: 7 maart 2023
• Publicatiedatum: 24 februari 2023
• Zaaknummer: 21/01600
• Instantie: Hoge Raad
• Type: Uitspraak
• Rechtsgebied: Strafrecht
• Procedures: Cassatie
• Rechters: V. van den Brink; Y. Buruma; A.L.J. van Strien
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Grootschalige internetfraude en medeplegen van gewoontewitwassen door infectie van computers met malware

In deze zaak heeft de Hoge Raad op 7 maart 2023 uitspraak gedaan in een cassatieprocedure tegen een arrest van het gerechtshof Den Haag. De zaak betreft grootschalige internetfraude waarbij verdachte en zijn medeverdachten computers van rekeninghouders van banken hebben geïnfecteerd met malware, genaamd TorRAT, om frauduleuze overboekingen te realiseren. De verdachte is beschuldigd van medeplegen van gewoontewitwassen van geldbedragen, verkregen door middel van deze fraude. Het hof had vastgesteld dat de verdachte en zijn medeverdachten samenwerkten in een gestructureerd samenwerkingsverband, waarbij ieder een rol vervulde die essentieel was voor het slagen van de fraude. De Hoge Raad herhaalt relevante overwegingen uit eerdere jurisprudentie over medeplegen en concludeert dat de samenwerking van de verdachte met zijn medeverdachten voldoende gewicht had om als medeplegen van witwassen te worden aangemerkt. De Hoge Raad verwerpt het cassatieberoep, waarbij het hof oordeelde dat de verdachte een onmiskenbare bijdrage heeft geleverd aan de opzet en uitvoering van de fraude, en dat het witwassen een onlosmakelijk onderdeel was van deze criminele activiteiten. De uitspraak benadrukt de noodzaak van nauwe samenwerking en de rol van de verdachte binnen het criminele netwerk.

Uitspraak

HOGE RAAD DER NEDERLANDEN

STRAFKAMER

Nummer 21/01600

Datum 7 maart 2023

ARREST

op het beroep in cassatie tegen een arrest van het gerechtshof Den Haag van 30 maart 2021, nummer 22-003539-16, in de strafzaak

tegen

[verdachte] ,

geboren te [geboorteplaats] op [geboortedatum] 1989,

hierna: de verdachte.

1. Procesverloop in cassatie

Het beroep is ingesteld door de verdachte. Namens deze heeft M. Berndsen, advocaat te Amsterdam, bij schriftuur cassatiemiddelen voorgesteld. De schriftuur is aan dit arrest gehecht en maakt daarvan deel uit.

Namens de benadeelde partij Coöperatieve Rabobank U.A. heeft Th.O.M. Dieben, advocaat te Amsterdam, een verweerschrift ingediend.

Namens de benadeelde partij ING Bank Nederland N.V. heeft A.L. de Vogel, advocaat te Amsterdam, een verweerschrift ingediend.

De advocaat-generaal E.J. Hofstee heeft geconcludeerd tot verwerping van het beroep.

De raadslieden van de benadeelde partijen hebben daarop schriftelijk gereageerd.

2. Beoordeling van het eerste cassatiemiddel

2.1

Het cassatiemiddel klaagt onder meer dat de bewezenverklaring onder 1 ten aanzien van het medeplegen niet uit de bewijsvoering kan worden afgeleid. Het voert daartoe aan dat uit de bewijsvoering alleen kan volgen dat de verdachte was betrokken bij de - aan de in de bewezenverklaring bedoelde witwashandelingen - voorafgaande diefstal.

2.2.1

Ten laste van de verdachte is onder 1 bewezenverklaard dat:

“hij, in de periode van augustus 2012 tot en met december 2012 in Nederland en in Groot-Brittannië, tezamen en in vereniging met anderen, van het plegen van witwassen een gewoonte heeft gemaakt, door van een voorwerp, te weten geldbedragen van in totaal 235.118,36 zegge tweehonderdvijfendertigduizend honderdachttien euro en zesendertig cent, de herkomst en de verplaatsing te verhullen,

immers hebben verdachte en zijn mededaders voornoemde geldbedragen verkregen door het (laten) versturen van grote hoeveelheden e-mailberichten (zogenaamde ‘spamruns’) waardoor computers van derden zijn geïnfecteerd met TorRAT malware en vervolgens de mogelijkheid verkregen het online betaalverkeer tussen de klant en de bank te manipuleren en vervolgens die gelden onder valse omschrijvingen naar andere bankrekeningen overgeschreven en/of laten overschrijven dan waartoe opdracht was gegeven, en vervolgens

- die geldbedragen meermalen doorgeboekt naar (buitenlandse en/of zakelijke) bankrekeningen die (indirect) door hem en/of zijn mededaders werden beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens)

- die geldbedragen van die bankrekeningen opgenomen in contanten (ter doorbreking van de papertrail) en/of

- de digitale banktegoeden en/of contante bedragen omgezet naar ‘bitcoins’,

welke geldbedragen - middellijk of onmiddellijk - van misdrijf afkomstig zijn, terwijl hij en zijn mededaders wisten dat die voorwerpen - onmiddellijk of middellijk - afkomstig waren uit enig misdrijf.”

2.2.2

Het hof heeft ten aanzien van de bewezenverklaring het volgende overwogen:

“Centraal in deze zaak staat een malware die in 2012 en 2013 door middel van spamruns en het internet werd verspreid en die TorRAT wordt genoemd. Deze malware had tot doel om fraude te plegen bij (rekeninghouders van) Coöperatieve Rabobank U.A. (hierna: ‘Rabobank’) en ING-bank (hierna: ‘ING’). Kort gezegd komt het erop neer dat grote aantallen spammails met veelal aanmaningen of voorstellen voor een betalingsregeling werden verzonden. In die mails zat ogenschijnlijk een link naar een openstaande factuur of ander (PDF-)bestand, maar in werkelijkheid betrof het een programma dat de malware op de computer van iedere gebruiker installeerde die op die link klikte. De malware werd door een Command and Control server (hierna: ‘C&C-server’) op het internet aangestuurd. Bij het gebruik van internetbankieren op een besmette computer kon zo het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze konden betalingen door de TorRAT-malware worden gewijzigd en omgeleid naar de bankrekeningen van zogeheten moneymules. Het voorgaande blijkt uit de aangiften van ING (BM 1 e.v.) en Rabobank (BM 3 e.v.) en uit onderzoek van Fox-IT (BM 23 e.v.), de politie (BM 25 e.v. en 33) en Trendmicro (BM 30) en staat op zich ook niet ter discussie.

(...)

Eenvoudig weergegeven bestond TorRAT uit twee elementen, de software zelf en configuratiebestanden. (...) Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het Darkweb of Darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden. De exacte functie en werking daarvan zal hierna worden uiteengezet.

(...)

De feitelijke werking van TorRAT was volledig afhankelijk van de inhoud van configuratiebestanden die vanaf de C&C-server naar de met TorRAT geïnfecteerde computers werden verzonden (uit de verklaring van de deskundige en het Fox-IT rapport blijkt immers dat het verspreiden van configuraties naar de met TorRAT geïnfecteerde computers plaatsvond door het versturen van het commando ‘dc’ (download config) door de C&C-server, waarna de geïnfecteerde computers de configuratiebestanden downloadden.) Het initiatief voor het vernieuwen van de configuratiebestanden, en daarmee de verantwoordelijkheid voor de inhoud daarvan en dus ook voor de werking van TorRAT, lag bij de (beheerder van) de C&C-server, zo bevestigt de deskundige (blz. 5 rapport). (...)

4. Witwassen

Uit de bijlagen bij de aangiften van de banken, verklaringen van diverse moneymules en het politieonderzoek (BM 32) blijkt dat geldbedragen die succesvol werden overgeboekt naar de bankrekeningen van moneymules veelal contant werden gemaakt door middel van betalingen of werden omgezet in bitcoins, al dan niet nadat zij eerst waren doorgeboekt naar bankrekeningen van tweedelijns moneymules. De opgenomen, doorbetaalde en/of in bitcoins omgezette bedragen zijn op deze wijze witgewassen.

[Hoge Raad: de hierna opgenomen voetnoot houdt in:]

Om misverstanden te voorkomen: het hof ziet de overboeking van de bankrekening van een slachtoffer naar de moneymule als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door contant maken of omzetting in bitcoins die het hof als witwassen aanmerkt. (...)

5. Het bestaan van een criminele organisatie, de leden daarvan (feit 2) en het medeplegen van het witwassen (feit 1)

(...)

Inherent aan de hiervoor beschreven vorm van computercriminaliteit, ook wel (niet geheel adequaat) aangeduid als ‘phishing’, is het bestaan van een daarop gerichte organisatie. Malware is ontwikkeld, servers zijn gehackt om met behulp van spamruns de malware te verspreiden, servercapaciteit is verkregen voor het hosten van één of meer C&C-servers en moneymules zijn bewerkt om de beschikking te krijgen over bankrekeningen en toebehoren om gelden op te laten storten en vervolgens eventueel contant te kunnen, opnemen. Deze handelwijze vergt een planmatige aanpak, taakverdeling, samenwerking en zorgvuldige afstemming tussen de daarbij betrokken personen. Zo moesten de gegevens van de moneymules worden verwerkt in de configuratiebestanden voordat geld overgemaakt kon worden en moest geregeld worden dat geld zo kort mogelijk na overboeking werd opgenomen of overgemaakt naar weer een andere bankrekening. Uit het dossier blijkt dat de personen die de diverse hiervoor beschreven taken vervulden in frequent en nauw contact met elkaar hebben gestaan. Dit heeft plaatsgevonden gedurende geruime tijd en er kan dus zonder meer gesproken worden van een duurzaam en gestructureerd samenwerkingsverband. Derhalve komt het hof tot het oordeel dat sprake is geweest van een criminele organisatie.

Het bestaan van die organisatie blijkt ook uit de TorMails tussen [medeverdachte 1] , [medeverdachte 2] , [medeverdachte 3] , [medeverdachte 4] , [verdachte] , [medeverdachte 5] en [betrokkene 6] (zie § B van bijlage I bij dit arrest), waarbij het hof ervan uitgaat dat dit bijnamen zijn, bedoeld om de werkelijke identiteit van de betrokkenen te verhullen. Enkele voorbeelden ter illustratie: in die TorMails worden bankgegevens van moneymules en gegevens van betrokken bedrijven gedeeld en een spamrun aangekondigd, een financiële afrekening gemaakt uit een ‘gezamenlijke pot’, aanwijzingen gegeven om laptops en telefoons weg te gooien vanwege een lopend onderzoek, wordt overlegd over afspraken bij de Kamer van Koophandel en er zijn diverse dwarsverbanden tussen het adres [e-mailadres 1] en het beheer van de TorRAT malware.

Het hof is van oordeel dat er voldoende bewijs is dat achter de bijnamen [medeverdachte 1] , [medeverdachte 2] , [medeverdachte 3] , [medeverdachte 4] , [medeverdachte 5] en [verdachte] de medeverdachten [medeverdachte 1] , [medeverdachte 2] , [medeverdachte 3] , [medeverdachte 4] , [medeverdachte 5] en de verdachte schuilgaan en dat zij lid van de criminele organisatie (feit 2) en medepleger van het witwassen (feit 1) zijn. Ter toelichting hierop wordt het volgende overwogen.

(...)

De verdachte [verdachte]

De verdachte is [verdachte] . (...)

Nu het hof reeds heeft vastgesteld dat de verdachte [verdachte] is en dat de verdachte de gebruiker is van [e-mailadres 2] @mail.be en [e-mailadres 3] @live.com, staat naar het oordeel van het hof vast dat de gebruiker van [e-mailadres 3] @live.com en [e-mailadres 1] ook een en dezelfde persoon zijn, te weten de verdachte.

(...)

Het adres [e-mailadres 1] komt in het technisch onderzoek naar de TorRAT-malware veelvuldig voor. Zo fungeerde dit e-mailadres als testadres voor meerdere TorRAT-spamruns (BM 33 e.v.) en is het gebruikt bij de registratie van de in een TorRAT-spamrun gebruikte domeinnaam [website] .com (TorMail #113 en BM 167). Verder is het e-mailadres gebruikt om te controleren of TorRAT door antivirussoftware wordt herkend (BM 30) en is [e-mailadres 1] te linken aan de Mullvad-gebruiker die blijkens het politieonderzoek de C&C-server heeft beheerd (BM 160 e.v.).

(...)

Ook voor de verdachte geldt daarom dat hij lid van de criminele organisatie achter TorRAT was. Meer specifiek was zijn rol die van beheerder van de TorRAT-malware. Het verweer van de verdediging van de verdachte dat niet uit te sluiten valt dat [e-mailadres 1] door meerdere gebruikers werd gedeeld en dat ‘ [verdachte] ’/de verdachte mogelijk niet op exclusieve basis het beheer over TorRAT voerde, slaagt niet. Immers, ook een gedeeld beheer van TorRAT leidt per definitie tot de conclusie dat van medeplegen sprake is. Overigens had het op de weg van de verdachte gelegen om, als hij slechts één van de gebruikers was geweest, daarover tekst en uitleg te geven.

(...)

De verdachte is medepleger van feit 1, het witwassen. Ook voor hem geldt dat de diefstal van het geld enerzijds en het witwassen daarvan anderzijds zo nauw met elkaar verbonden zijn, dat het medeplegen van die diefstal ook medeplegen van het witwassen met zich brengt.

(...)

Medeplegen van feit 1

Het hof stelt voorop dat voor medeplegen volgens vaste rechtspraak vereist is dat er sprake is van een voldoende nauwe en bewuste samenwerking met een ander of anderen, waarbij het accent ligt op de samenwerking en minder op de vraag wie welke feitelijke handelingen heeft verricht. Wel moet de eigen bijdrage van een verdachte van voldoende gewicht zijn. Voor de verdachte en de medeverdachten [medeverdachte 2] , [medeverdachte 3] , [medeverdachte 4] , [medeverdachte 1] en [medeverdachte 5] bestaat die samenwerking daaruit dat zij ieder taken hebben verricht waardoor de TorRAT fraude mogelijk werd. Enerzijds was de techniek nodig, anderzijds was het de beschikbaarheid van voldoende en tijdig inzetbare moneymules die het mogelijk maakte om gelden daadwerkelijk te ontvreemden: eerst door de moneymules op te nemen in de configuratiebestanden en vervolgens als betalingsadres voor het ontvreemde geld. Het witwassen is in deze zaak vervolgens een onlosmakelijk onderdeel van de fraude; immers, als het geld te lang bij de moneymules staat, dan kunnen de banken transacties blokkeren en gelden terughalen, zoals in deze zaak veelvuldig is gebeurd. De beschreven samenwerking moet naar zijn aard nauw geweest zijn. Anders dan bepleit, is het hof van oordeel dat het niet zo is dat per transactie gekeken moet worden naar de (bewijsbare) bijdrage van ieder der verdachten. Voor ieder van deze verdachten geldt dat zij een rol van voldoende gewicht hebben gespeeld binnen de TorRAT-fraude en dat rechtvaardigt strafrechtelijke verantwoordelijkheid voor het geheel.”

2.3

In onder meer zijn arrest van 5 juli 2016, ECLI:NL:HR:2016:1316, heeft de Hoge Raad enige algemene beschouwingen over het medeplegen gegeven. Voor de kwalificatie medeplegen is vereist dat sprake is van nauwe en bewuste samenwerking. Die kwalificatie is alleen gerechtvaardigd als de bewezenverklaarde - intellectuele en/of materiële - bijdrage van de verdachte aan het delict van voldoende gewicht is. Bij de vorming van zijn oordeel dat sprake is van de voor medeplegen vereiste nauwe en bewuste samenwerking, kan de rechter rekening houden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.
De bijdrage van de medepleger zal in de regel worden geleverd tijdens het begaan van het strafbare feit in de vorm van een gezamenlijke uitvoering van het feit. Maar de bijdrage kan ook zijn geleverd in de vorm van verscheidene gedragingen voor en/of tijdens en/of na het strafbare feit. Ook is niet uitgesloten dat de bijdrage in hoofdzaak vóór het strafbare feit is geleverd. Zeker in dergelijke, in zekere zin afwijkende of bijzondere, situaties dient in de bewijsvoering aandacht te worden besteed aan de vraag of wel zo bewust en nauw is samengewerkt bij het strafbare feit dat van medeplegen kan worden gesproken, in het bijzonder dat en waarom de bijdrage van de verdachte van voldoende gewicht is geweest.

2.4.1

De vaststellingen van het hof houden over de frauduleuze handelswijze in dat computers van derden door middel van ‘spammails’ werden geïnfecteerd met ‘TorRAT-malware’. Deze malware manipuleerde online betaalopdrachten van die derden zodanig dat het geldbedrag niet werd overgemaakt naar de beoogde ontvanger maar naar een bankrekening van een ‘moneymule’, welke gang van zaken door het hof als “diefstal” is beschouwd. Het hof heeft onder 1 bewezenverklaard dat deze ontvreemde geldbedragen vervolgens - kort gezegd - telkens zijn witgewassen door de herkomst daarvan te verhullen, waartoe die geldbedragen van de bankrekeningen van de ‘moneymules’ zijn overgeboekt naar andere bankrekeningen en/of contant zijn opgenomen en/of die banktegoeden en contante geldbedragen zijn omgezet in bitcoins. Het hof heeft verder vastgesteld dat de verdachte ‘beheerder’ was van de TorRAT-malware en de C&C-server, in welke hoedanigheid de verdachte verantwoordelijk was voor de inhoud van de configuratiebestanden waarmee de malware op de geïnfecteerde computers werd voorzien van de bankgegevens van de verschillende ‘moneymules’ en hij ook het initiatief nam deze configuratiebestanden telkens te vernieuwen.

2.4.2

Het hof heeft overwogen dat de samenwerking van de verdachte en zijn medeverdachten hieruit bestond dat zij ieder taken hebben verricht waardoor de TorRAT fraude mogelijk werd. Enerzijds was daarvoor volgens het hof de - zoals hiervoor weergegeven: door de verdachte beheerde - techniek nodig, anderzijds was het de beschikbaarheid van voldoende en tijdig inzetbare 'moneymules' die het mogelijk maakte om gelden daadwerkelijk te ontvreemden, waarbij de verdachte ervoor zorgde dat de gegevens van de 'moneymules' werden opgenomen in de configuratiebestanden, zodat deze vervolgens konden dienen als betalingsadres voor het ontvreemde geld. Het bewezenverklaarde (gewoonte)witwassen was daarbij volgens het hof een onlosmakelijk onderdeel van de fraude waarop het samenwerkingsverband van de verdachten was gericht, omdat de banken de transacties zouden kunnen blokkeren en de gelden zouden kunnen terughalen als deze te lang op de bankrekening van de ‘moneymule’ zouden blijven staan, wat de banken in deze zaak ook veelvuldig hebben kunnen doen. Dat de daadwerkelijke transacties met de op de bankrekening van de ‘moneymules’ ontvangen geldbedragen werden verricht door andere, ook tot voornoemd samenwerkingsverband behorende verdachten, neemt niet weg dat het hof kon oordelen dat ook de bijdrage die de verdachte aan de op deze fraude gerichte samenwerking heeft geleverd van voldoende gewicht was om als medeplegen van het witwassen van de aan de ‘moneymules’ overgeboekte gelden te worden aangemerkt. Dat oordeel geeft niet blijk van een onjuiste rechtsopvatting en is niet onbegrijpelijk.

2.5

De klacht van het cassatiemiddel is tevergeefs voorgesteld.

3. Beoordeling van de cassatiemiddelen voor het overige

De Hoge Raad heeft ook de overige klachten over de uitspraak van het hof beoordeeld. De uitkomst hiervan is dat ook deze klachten niet kunnen leiden tot vernietiging van die uitspraak. De Hoge Raad hoeft niet te motiveren waarom hij tot dit oordeel is gekomen. Bij de beoordeling van deze klachten is het namelijk niet nodig om antwoord te geven op vragen die van belang zijn voor de eenheid of de ontwikkeling van het recht (zie artikel 81 lid 1 van de Wet op de rechterlijke organisatie).

4. Beslissing

De Hoge Raad verwerpt het beroep.

Dit arrest is gewezen door de vice-president V. van den Brink als voorzitter, en de raadsheren Y. Buruma en A.L.J. van Strien, in bijzijn van de waarnemend griffier H.J.S. Kea, en uitgesproken ter openbare terechtzitting van
7 maart 2023 .