ECLI:NL:RBROT:2016:5814

• Datum uitspraak: 20 juli 2016
• Publicatiedatum: 26 juli 2016
• Zaaknummer: 1096016713
• Instantie: Rechtbank Rotterdam
• Type: Uitspraak
• Rechtsgebied: Strafrecht; Materieel strafrecht
• Procedures: Eerste aanleg - meervoudig
• Rechters: N. Doorduijn; A.A. Kalk; C.M.A.T. van der Geest
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Veroordeling voor het medeplegen van witwassen en het leiden van een criminele organisatie met gebruik van TorRAT malware

In deze zaak heeft de Rechtbank Rotterdam op 20 juli 2016 uitspraak gedaan in een strafzaak tegen de verdachte, die werd beschuldigd van het medeplegen van witwassen en het leiden van een criminele organisatie. De verdachte werd veroordeeld tot een gevangenisstraf van 36 maanden. De zaak draaide om de verspreiding van de TorRAT malware in de jaren 2012-2013, die werd gebruikt om internetbankieren te manipuleren en geld van rekeninghouders van ING en Rabobank te ontvreemden. De rechtbank oordeelde dat de verdachte en zijn medeverdachten op grote schaal e-mails verstuurden, waardoor computers van derden werden geïnfecteerd met de malware. Hierdoor konden zij de online betalingen manipuleren en de ontvreemde gelden naar rekeningen van zogenaamde 'money mules' overboeken. De rechtbank concludeerde dat de verdachte een leidende rol had binnen de criminele organisatie en dat er voldoende bewijs was voor zijn betrokkenheid bij het witwassen van de verkregen gelden. De rechtbank verwierp de verdediging dat de causaliteit tussen de malware en de overboekingen niet kon worden vastgesteld, en oordeelde dat de combinatie van aangiften en dwarsverbanden voldoende bewijs vormde voor de betrokkenheid van de verdachte. De rechtbank legde de verdachte een gevangenisstraf op, rekening houdend met de ernst van de feiten en de grote schade die was veroorzaakt aan zowel de banken als de rekeninghouders.

Uitspraak

Rechtbank Rotterdam

Team straf 3

Parketnummer: 10/960167-13

Datum uitspraak: 20 juli 2016

Tegenspraak

Vonnis van de rechtbank Rotterdam, meervoudige kamer voor strafzaken, in de zaak tegen de verdachte:

[naam 1] [verdachte 1] ,

geboren te [geboorteplaats] op [geboortedatum] ,

niet ingeschreven in de basisregistratie personen,

wonende te [woonplaats] (Tsjechië) op het adres [adres 1] ,

raadsman mr. J.J.D. Doleweerd, advocaat te Amersfoort.

1. Onderzoek op de terechtzittingen

Gelet is op het onderzoek op de terechtzittingen van 6, 7, 8 en 9 juni 2016. Het onderzoek is gesloten op de terechtzitting van 20 juli 2016.

2. Tenlastelegging

Aan de verdachte is ten laste gelegd hetgeen is vermeld in de dagvaarding, zoals deze op eerdere terechtzittingen overeenkomstig de vorderingen van de officier van justitie is gewijzigd.

De tekst van de gewijzigde tenlastelegging is als bijlage I aan dit vonnis gehecht.

3. Eis officier van justitie

De officier van justitie mr. D. van der Ven-Laheij heeft gevorderd:

• bewezenverklaring van het onder 1 en 2 ten laste gelegde;
• veroordeling van de verdachte tot een gevangenisstraf voor de duur van 36 maanden met aftrek van voorarrest.

4. Waardering van het bewijs

4.1.

Inleiding

Centraal in deze zaak staat een malware die in 2012 en 2013 door middel van spamruns en het internet werd verspreid en die TorRAT wordt genoemd. Deze malware had tot doel om fraude te plegen bij (rekeninghouders van) ING en de Rabobank. Kort gezegd komt het er op neer dat grote aantallen spammails met veelal aanmaningen of voorstellen voor een betalingsregeling werden verzonden. In die mails zat ogenschijnlijk een link naar een openstaande factuur of ander (pdf)bestand, maar in werkelijkheid betrof het een programma dat de malware op de computer van de gebruiker installeerde. De malware werd door een Command and Control server op het internet aangestuurd. Bij het gebruik van internetbankieren op een besmette computer kon zo het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze konden betalingen door de TorRAT malware worden gewijzigd en omgeleid naar de rekeningen van zogeheten money mules. Het voorgaande blijkt uit de aangiften van ING (bm 1 e.v.) ^[1] en de Rabobank (bm 3 e.v.) en uit onderzoek van Fox-IT (bm 23 e.v.), de politie (bm 25 e.v. en 33) en Trendmicro (bm 30) en staat op zich ook niet ter discussie. ^[2]

4.2.

Relatie tussen TorRAT en de door de banken genoemde overboekingen

Wat wel in geschil is, is of de overboekingen genoemd in (de bijlagen bij) de aangiften van ING en de Rabobank het gevolg zijn van de TorRAT malware. De officier van justitie stelt dat dit het geval is. Zij heeft ter onderbouwing daarvan bij requisitoir een overzicht overgelegd met diverse dwarsverbanden van verschillende onderzoeksbevindingen. De verdediging heeft betoogd dat de causaliteit zich niet laat vaststellen. Hiertoe is onder meer aangevoerd dat uit de aangiften en rapportages van Fox-IT niet blijkt hoe deze causaliteit is vastgesteld en dat ook uit de getuigenverhoren niet duidelijk is geworden wie de bijlagen bij de aangiften heeft opgesteld en op welke wijze dat is gebeurd. Verder is er in dit verband op gewezen dat getuige/deskundige Sandee heeft aangegeven wat er nodig is om de causaliteit vast te stellen en dat het overzicht van de officier van justitie daaraan niet voldoet. Meer in het algemeen is betoogd dat uit het dossier blijkt dat er in de pleegperiode verschillende virussen waren die gericht waren op banken en dat onvoldoende duidelijk is hoe de banken de in de aangiften genoemde bedragen aan TorRAT hebben toegeschreven.

De rechtbank overweegt hierover het volgende.

De verdediging voert terecht aan dat niet duidelijk is geworden wie de bijlagen bij de aangiften van de banken heeft opgesteld en aan de hand van welke criteria dat is gebeurd. Dit betekent dat niet reeds op basis van die aangiften aangenomen kan worden dat het inderdaad gaat om transacties die zijn veroorzaakt door de TorRAT malware. Daarvoor is aanvullend bewijs nodig. Bij de beoordeling daarvan kiest de rechtbank voor de hierna volgende aanpak.

1. Welke overboekingen zijn relevant voor de bewijsbeoordeling?

In de aangiften van de banken wordt een groot aantal overboekingen naar een substantieel aantal begunstigden genoemd. Niet al die overboekingen en begunstigden zijn relevant voor de vraag of de feiten bewezen kunnen worden. Zo gaat het bij feit 1 alleen om gelden die witgewassen zijn. Dat gebeurde, zoals hierna zal blijken, doordat geld van de rekeningen van money mules – al dan niet na verdere doorboekingen – werd opgenomen in contanten of werd gebruikt om bitcoins te kopen. Overboekingen die de banken hebben tegengehouden of veiliggesteld voordat de bedragen zijn opgenomen of doorgeboekt, zijn op zichzelf dus niet relevant voor de beoordeling of feit 1 bewezen kan worden. Voor feit 2 (criminele organisatie) geldt dit zelfs in sterkere mate. Voor dit feit is op zich niet vereist dat concrete overboekingen worden vastgesteld als gevolg van TorRAT. Feit 2 betreft immers het lidmaatschap van een criminele organisatie met bepaalde oogmerken, en niet individuele fraudegevallen.

Gelet op het voorgaande zal de rechtbank eerst ingaan op de begunstigden zoals die blijken uit de configuratiebestanden en daarna op diverse andere begunstigden waarvan de rechtbank van oordeel is dat die van belang zijn voor de vraag of feit 1 en/of feit 2 ten aanzien van een of meerdere verdachten bewezen kunnen worden. Overboekingen waarvan de officier van justitie bij requisitoir ^[3] heeft erkend dat deze niet zijn witgewassen en/of waarvan uit de aangiften van de Rabobank blijkt dat deze de bedragen heeft kunnen veiligstellen ^[4] , blijven buiten beschouwing, tenzij deze relevant zijn om bepaalde dwarsverbanden aan te tonen.

2. De rekeninghouders uit de configuratiebestanden

Uit het onderzoek van Fox-IT blijkt dat de TorRAT malware werd aangestuurd door middel van configuratiebestanden. Die bestanden bevatten onder meer de bankrekeningnummers met namen van rekeninghouders waarnaar de malware geld moest overmaken. In § 3.7 van het rapport d.d. 22 maart 2013 van Fox-IT (bm 23) wordt een overzicht gegeven van die rekeningen/begunstigden. De juistheid van dat overzicht staat als zodanig niet ter discussie ^[5] en de rechtbank heeft ook geen enkele reden om daaraan te twijfelen. Gelet op wat bekend is over de werking van de malware is wettig en overtuigend bewezen dat de in de aangiften genoemde betalingen naar deze bankrekeningen in ieder geval het gevolg zijn van de TorRAT malware. Gelet op de grote schaal waarop overboekingen zijn gedaan naar uitgerekend money mules genoemd in de configuratiebestanden, kan een andere oorzaak van die overboekingen uitgesloten worden.

3. Overige relevante begunstigden

De rechtbank stelt ten aanzien van de navolgende begunstigden het volgende vast.

[begunstigde 1] , SOL, [begunstigde 2] en [begunstigde 3]

Over deze vier begunstigden wordt het volgende vastgesteld:

- Op de rekeningen van deze vier begunstigden is (onder meer) ingelogd door middel van de IP adressen 95.211.10.3 en/of 95.211.13.35 in de maanden augustus en september 2012. Vanaf die IP adressen is ook ingelogd op de rekeningen van Stichting Aandelenbeheer MBN en [begunstigde 4] (bm 38), twee van de begunstigden genoemd in de configuratiebestanden (bm 23). ^[6]

- Op de rekeningen van [begunstigde 1] , [begunstigde 3] en [begunstigde 2] is tevens ingelogd vanaf het IP adres 95.211.92.234 (bm 38), welk IP adres ook is gebruikt in samenhang met de TorRAT spamrun via aangever 9yards (zie hierover de aangifte van 9yards (bm 9), de aanvullende verklaring van deze aangever met daarin voornoemd IP adres (bm 10) en het overzicht van de spamruns (bm 33)).

- Uit de aangifte van VOF Romijnders (bm 17) blijkt dat van de rekening van deze aangever zowel gelden frauduleus zijn overgeboekt naar S.O.L. B.V. als naar A.R. [begunstigde 5] (een van de begunstigden uit de configuratiebestanden, zie bm 23).

[begunstigde 6] en [begunstigde 7]

Het hiervoor al genoemde IP adres 95.211.10.3 is ook gebruikt om in te loggen op de rekening van [begunstigde 6] en [begunstigde 7] (bm 39). Op de rekening van [begunstigde 6] is tevens ingelogd vanaf het eveneens hiervoor genoemde IP adres 95.211.13.35 (bm 39).

Wiro Bouw en Ceco Handelsonderneming (eenmanszaken van W. [begunstigde 8] ^[7] ).

Blijkens de aangifte van de Rabobank is een deel van het op rekening van Wiro Bouw gestorte geld doorgeboekt voor bitcoins, door middel van het hiervoor al genoemde IP adres 95.211.13.35 (zie p. 330 van het dossier). Verder is op de rekening van [begunstigde 8] ingelogd vanaf de hiervoor al genoemde IP adressen 95.211.10.3, 95.211.13.35 en 95.211.92.234 (bm 39).

[begunstigde 9]

heeft verklaard dat hij en M. [begunstigde 10] (een van de money mules uit de configuratiebestanden, zie bm 23), door dezelfde persoon zijn benaderd (bm 149). Verder blijkt uit de aangifte van Woonland B.V. (bm 22) dat van de rekening van Woonland B.V. zowel gelden frauduleus zijn overgeboekt naar [begunstigde 9] als naar A.R. [begunstigde 5] (een van de begunstigden uit de configuratiebestanden, zie bm 23).

[begunstigde 11]

Blijkens de aangifte van Boerkamp Auto-elektriciteit (bm 18) zijn er niet alleen bedragen frauduleus overgeboekt naar deze rekeninghouder, maar ook naar A.R. [begunstigde 5] (een van de begunstigden genoemd in de configuratiebestanden, bm 23).

Mohican C.V.

Blijkens de aangiften van de Rabobank is er een groot aantal overboekingen gedaan naar drie rekeningen op naam van Mohican (C.V.), waaronder diverse overboekingen van bankrekeningen van de bedrijven Omition, Minirity Events en Unity Evert Crew (zie
Annex 4 ). Blijkens de aangifte van de eigenaar van deze bedrijven (bm 19) had deze een spammail ontvangen van rechtspraak.nl (spamrun 11 uit het onderzoek, bm 33).

[begunstigde 16] (later genaamd [begunstigde 17] )

Over deze begunstigde wordt het volgende vastgesteld:

- Gelden die frauduleus zijn overgeboekt naar de rekening van [begunstigde 16] zijn doorgeboekt naar de rekening van M. [begunstigde 12] (bm 32), een begunstigde uit de configuratiebestanden (bm 23);

- Vanaf diverse IP-adressen wordt zowel ingelogd op de rekening van [begunstigde 13] (een begunstigde genoemd in de configuratiebestanden) als op de rekening van [begunstigde 16] . (bm 38).

V.G. [begunstigde 14] en [begunstigde 15]

Zowel [begunstigde 14] als [begunstigde 15] zijn geronseld door medeverdachte [verdachte 7] om frauduleus verkregen gelden op te nemen (bm 154, 2 en 143). Er zijn een aantal dwarsverbanden tussen deze begunstigden en TorRAT te leggen. Allereerst ronselde [verdachte 7] ook [naam 15] , één van de begunstigden genoemd in de configuratiebestanden (bm 143 en 23). ^[8] De gegevens van [begunstigde 14] en [begunstigde 15] worden bovendien doorgegeven in Tormails (#055 respectievelijk #012). Nu de Tormails evident betrekking hebben op de TorRAT fraude, blijkt ook daaruit dat zij als money mules voor TorRAT zijn gebruikt. Voor [begunstigde 15] geldt verder dat op haar rekening geld is bijgeschreven vanaf de rekening van Autobedrijf Alewijn Ott B.V. Blijkens de aangifte van dit bedrijf hadden zij een spammail op naam van Embuste advocaten ontvangen (bm 21) en die spammail is te linken aan TorRAT (bm 33).

4. Slotsom ten aanzien van de causaliteit

De rechtbank is van oordeel dat voor de overboekingen naar de begunstigden uit de configuratiebestanden en de overige hiervoor genoemde begunstigden wettig en overtuigend bewezen kan worden dat deze het gevolg zijn van de TorRAT malware. Anders dan de verdediging is de rechtbank van oordeel dat niet per individuele transactie aan de hand van de sessiegegevens van de banken beoordeeld hoeft te worden dat het gaat om een overboeking als gevolg van deze malware. De combinatie van de aangiften en de hiervoor genoemde dwarsverbanden zijn naar het oordeel van de rechtbank toereikend bewijs van de causaliteit tussen de malware en een groot aantal overboekingen en er zijn geen of onvoldoende concrete feiten en omstandigheden aannemelijk geworden die daaraan afdoen (in de zin van de Meer en Vaart-jurisprudentie). Het is niet aannemelijk geworden dat een andere (banking) malware, of een andere dadergroep dan de daders achter TorRAT, (een deel van) deze overboekingen heeft veroorzaakt. De stelling dat dit mogelijk is gebeurd, gaat er zonder adequate onderbouwing aan voorbij dat er op grote schaal betalingen zijn gedaan aan de personen die worden genoemd in de configuratiebestanden en aan andere personen die door middel van diverse dwarsverbanden aan deze malware kunnen worden gelinkt. De suggestie dat de hier bedoelde money mules mogelijk niet alleen voor TorRAT maar ook voor andere gevallen van cyberfraude zijn geronseld, is speculatief, niet onderbouwd en wordt reeds daarom verworpen. Nader onderzoek door een deskundige, zoals door de verdediging van sommige verdachten – naar de rechtbank begrijpt: meer subsidiair en dus voorwaardelijk – is verzocht naar de wijze waarop Fox-IT / de banken zijn gekomen tot de vaststelling van de lijsten bij de aangiften, acht de rechtbank in het licht van het voorgaande niet noodzakelijk.

4.3.

Witwassen

Uit de bijlagen bij de aangiften van de banken, verklaringen van diverse money mules en het politieonderzoek (bm 32) blijkt dat bedragen die succesvol werden overgeboekt naar de rekeningen van money mules, voor zover niet door de banken in beslag genomen, veelal contant werden gemaakt door middel van betalingen of werden omgezet in bitcoins, al dan niet nadat zij eerst waren doorgeboekt naar rekeningen van 2de lijns money mules. De opgenomen, doorbetaalde en/of in bitcoins omgezette bedragen zijn op deze wijze witgewassen. ^[9]

Uit de repliek van de officier van justitie maakt de rechtbank op dat de verdachten niet wordt verweten dat er bitcoins zijn witgewassen, maar dat er geld is witgewassen door dit om te zetten naar bitcoins. De verdachten zullen vrijgesproken worden van het deel van de tenlastelegging waar hen wordt verweten dat zij bitcoins hebben witgewassen.

4.4.

Het bestaan van een criminele organisatie, de leden daarvan (feit 2) en het medeplegen van het witwassen (feit 1)

4.4.1.

Inleiding

Inherent aan de hiervoor beschreven cyberfraude is het bestaan van een daarop gerichte organisatie. Malware is ontwikkeld, servers zijn gehackt om met behulp van spamruns de malware te verspreiden en money mules zijn geregeld om de beschikking te krijgen over rekeningen om gelden op te laten storten. Deze handelwijze vergt een planmatige aanpak, samenwerking en duidelijke afstemming tussen de daarbij betrokken personen. Zo moesten de gegevens van de money mules worden verwerkt in de configuratiebestanden voordat geld overgemaakt kon worden en moest geregeld worden dat geld zo kort mogelijk na uitbetaling werd opgenomen of overgemaakt. De ‘technische kant’ en de ‘money mule-zijde’ moeten dan ook in frequent en nauw verband met elkaar hebben gestaan. Dit heeft plaatsgevonden gedurende geruime tijd en er kan dus zonder meer gesproken worden van een duurzaam en gestructureerd samenwerkingsverband. Kortom, er is sprake van een criminele organisatie.

Die organisatie blijkt ook uit de Tormails tussen Cheng, Chong, Chang, Ching, Jantje, Xel en Eng (zie § B van bijlage II bij dit vonnis). Enkele voorbeelden ter illustratie: in die Tormails worden bankgegevens van money mules en gegevens van betrokken bedrijven gedeeld en een spamrun aangekondigd, een financiele afrekening gemaakt, aanwijzingen gegeven om laptops en telefoons weg te gooien vanwege een lopend onderzoek, wordt overlegd over afspraken bij de kamer van koophandel en er zijn diverse dwarsverbanden tussen het adres [mailadres 4] ^[10] [mailadres 4] en het beheer van de TorRAT malware.

De rechtbank is van oordeel dat er voldoende bewijs is dat achter de bijnamen Cheng, Chong, Chang, Ching, Jantje en Xel de verdachten [verdachte 1] , [verdachte 5] , [verdachte 4] , [verdachte 3] , [verdachte 2] en [verdachte 6] schuilgaan en dat zij lid van de criminele organisatie (feit 2) en medepleger van het witwassen (feit 1) zijn. ^{[11] [12]} Ter toelichting hierop wordt het volgende overwogen.

4.4.2.

Verdachte [verdachte 1] (Cheng)

[verdachte 1] is Cheng. Dat kan als volgt worden vastgesteld: ^[13]

a. In Tormail #034 schrijft Chong aan Ching dat Cheng het nummer [telefoonnummer 1] gebruikt. De historische gegevens van dat nummer zijn vergeleken met het nummer dat op naam staat van [verdachte 1] , [telefoonnummer 2] . Daaruit blijkt dat de beide telefoonnummers zich op meerdere tijdstippen rond dezelfde locatie bevonden. Ook is gebleken dat er geen momenten zijn aan te wijzen waarop de mastgegevens zo ver uit elkaar liggen dat het niet mogelijk is dat deze nummers zich in dezelfde omgeving bevonden (bm 105).

b. In Tormail #038 d.d. 14 november 2012 om 09.32 uur schrijft Cheng aan Ching, Chang en Chong dat hij net de trein heeft gereserveerd; vertrek dinsdag 1150 uit Calais terug 1550 lokale tijd. Uit Tormails #041, #047 en #050 blijkt dat het gaat om een bezoek in Engeland van Ching, Cheng, Chang en Chong bij ‘Eng’ ( [naam 18] ). Onder [verdachte 1] is een telefoon in beslag genomen (bm 115) en uit de telefonische contacten van die telefoon blijkt dat met die telefoon op 14 november 2012 is gebeld met het nummer 09005040540, het reserveringsnummer van de Eurotunnel (bm 116). Op 15 november 2012 heeft Eurotunnel een reservering bevestigd aan ‘de heer P. [verdachte 1] ’ (bm 117). Zingstra heeft bevestigd dat hij in Engeland is opgezocht door een delegatie en verklaart dat [verdachte 1] daar deel van uitmaakte (bm 142).

c. [verdachte 1] en [verdachte 5] zijn op 7 december 2012 aangehouden in het onderzoek Rotterdam / Dash (bm 155). Op zaterdag 8 december 2012 verstuurde Chang Tormail #062 aan Ching waarbij hij aangaf dat Chong en Cheng afgelopen vrijdag samen met lid Assen naar een project zijn gegaan; nadien is er niets meer van hen vernomen en zijn zij niet bereikbaar. Op 9 december 2012 reageert Ching daarop met Tormail #085 dat hij (Ching) wil weten wat er aan de hand is, want hij heeft Cheng al een aantal keren op de chat gehad, maar hij reageert nergens op. In de fouillering van de verdachte [verdachte 1] is een telefoon aangetroffen. Daarop is het volgende ontvangen sms-bericht aangetroffen: ‘What is happening? Ik zie je op chat en krijg geen reactie? laat me ff wat weten. Gr.” (bm 155). Dit bericht is afkomstig van het Thaise nummer van verdachte [verdachte 3] (bm 155 jo 107). Op 10 december 2012 zijn de verdachten [verdachte 1] en [verdachte 5] heengezonden (bm 155) en op 13 december 2012 verstuurde Cheng Tormail #018 aan Ching en Chang, waarbij Cheng aangaf dat alle laptops en telefoons z.s.m. weggegooid moesten worden, omdat er een onderzoek liep.

Door de verdediging van verschillende verdachten is aangevoerd dat uitgesloten is dat [verdachte 1] tijdens zijn detentie toegang had tot de chat, dus dat hij niet degene kan zijn die op de chat gezien is. De rechtbank wijst erop dat uit Tormail #092 blijkt dat chatgesprekken tussen Cheng c.s. niet soepel liepen en dat het voorkwam dat men elkaar wel zag, maar dat er niet werd gereageerd en dat de techniek niet goed functioneerde.

De hier besproken omstandigheden moeten niet alleen in onderlinge samenhang worden gezien, maar ook in de context dat bij [verdachte 1] diverse voorwerpen zijn gevonden die onmiskenbaar zijn gerelateerd aan de TorRAT fraude (de SD-kaart in zijn huis (bm 124 e.v.) en de dongels (bm 123) en meerdere telefoons (bm 113 en 114) in zijn auto). Verder wordt gewezen op de verklaringen van de money mule [begunstigde 8] die [verdachte 1] aanwijst als degene voor wie hij een rekening opende (bm 146). De betrokkenheid van [verdachte 1] bij TorRAT blijkt dus ook (en in ruime mate) uit andere hoofde.

Over de SD-kaart heeft de verdediging van [verdachte 1] aangevoerd dat het gaat om gegevens die op unallocated clusters staat en dat er geen zekerheid is dat het gaat om verwijderde bestanden, wanneer een eventuele verwijdering zou zijn gebeurd en of die SD-kaart is gebruikt op de computer van [verdachte 1] . Geen van deze (en overige) aangevoerde argumenten doen er echter aan af dat op die SD-kaart bijzonder veel relevante TorRAT informatie stond.

Dat [verdachte 1] niet alleen lid van de criminele organisatie was, maar ook een leidinggevende rol had, blijkt uit de Tormails. Die leidinggevende rol wordt nog eens bevestigd, zij het in een iets andere context, door de verklaring van [verdachte 8] dat [verdachte 1] bij het witwassen in het deelonderzoek Rotterdam / Dash de leiding had (bm 147 e.v.).

Ten aanzien van het witwassen wordt nog het volgende overwogen. Dat geen concrete betrokkenheid bij alle opnamen, doorboekingen of money mules kan worden aangetoond, doet er niet aan af dat [verdachte 1] ook daarvoor als medepleger kan worden aangemerkt. Zoals hiervoor al is aangegeven, bestond er een nauw organisatorische verwevenheid tussen de technische kant van de fraude en de money mule zijde. Over en weer maakten deze twee zijden het mogelijk om deze fraude succesvol te plegen en over de gestolen gelden uiteindelijk te kunnen beschikken door middel van witwassen. [verdachte 1] was als geen ander daarvan op de hoogte en hij heeft daaraan een actieve, sturende bijdrage geleverd.

4.4.3.

Verdachte [verdachte 5]

is Chong. Dat kan als volgt worden vastgesteld:

a. In Tormail #034 d.d. 7 november 2012 schrijft Chong aan Ching dat Chong het nummer [telefoonnummer 3] gebruikt. [verdachte 5] heeft bij de politie het nummer [telefoonnummer 4] als zijn nummer opgegeven (bm 108). De historische gegevens van deze telefoonnummers zijn vergeleken. Daaruit blijkt dat de beide telefoonnummers veelvuldig masten in de omgeving van de [adres 2] te Haarlem (nabij de woning van de verdachte) aanstralen. Bovendien hebben de beide nummers op 1 november 2012 op vrijwel gelijke tijden ‘welkom in het buitenland’ sms-berichten ontvangen (bm 109). Verder blijkt uit onderzoek dat deze twee nummers regelmatig in elkaars nabijheid zijn (bm 110).

b. Bij de aanhouding op 7 december 2012 is een rugzak van [verdachte 5] in beslag genomen (bm 118). Daarin zat een map met de bankpas van [verdachte 5] (bm 122) en diverse papieren, waaronder een overzicht van tegoeden van Cheng (rechtbank: [verdachte 1] ) en Chong (bm 121).

c. In Tormail #061 d.d. 6 december 2012 schrijft Chang aan Ching dat Chong 3600 prive heeft gepind. Blijkens de bankafschriften van de rekening van [verdachte 5] heeft hij een bedrag van € 3.600,00 gepind op 28 juni 2012 (bm 164).

De hier besproken omstandigheden moeten niet alleen in onderlinge samenhang worden gezien, maar ook in de context dat bij [verdachte 5] diverse andere voorwerpen zijn gevonden die onmiskenbaar met de TorRAT fraude samenhangen. Zo is in de hiervoor al genoemde rugzak van [verdachte 5] ook een doorboekformulier aangetroffen met de namen en rekeningnummers van Frank [naam 7] en [naam 3] (bm 119) en een adressenlijst, met daarop onder meer de namen C.J. [naam 5] , D.K. [naam 4] en [naam 6] (bm 120). Al deze namen komen terug in het financiële / technische onderzoek: [naam 7] en [naam 3] worden genoemd in de configuratiebestanden met de bankrekeningnummers die ook op het doorboekformulier staan (bm 23), de gegevens van [naam 4] zijn gebruikt bij de registratie van de domeinnaam [mailadres 1] die is gebruikt bij een spamrun (bm 167), de gegevens van [naam 5] zijn gebruikt voor het emailadres [mailadres 2] (bm 167) en de naam [naam 6] sluit aan bij de naam van de afzender ( [naam 8] ) van een emailbericht waarin een TorRAT virus wordt gezonden van het adres [mailadres 3] naar het adres [mailadres 2] (bm 29 en 28). Verder is in de woning van [verdachte 5] een laptop gevonden met daarop een chatgesprek uit februari 2013 dat aansluit bij het witwassen van gestolen geld naar bitcoins (bm 129). Money mule [begunstigde 8] wijst bovendien [verdachte 5] aan als een van degenen aan wie hij het geld dat op zijn bankrekening werd bijgeschreven, afdroeg (bm 146).

De betrokkenheid van [verdachte 5] bij TorRAT blijkt dus niet alleen uit de Tormails maar ook (en in ruime mate) uit andere hoofde.

Door de verdediging van [verdachte 5] is aangevoerd dat niet vaststaat dat de papieren in de rugzak van hem zijn. Dit verweer slaagt niet. Niet alleen zaten deze papieren in de rugzak van [verdachte 5] , maar een deel van die papieren zat bovendien in een map waarin ook zijn eigen bankpas zat (bm 122).

Geconcludeerd wordt dat [verdachte 5] lid is van de criminele organisatie achter TorRAT. Tevens is hij medepleger van het witwassen. Ook voor hem geldt dat de diefstal van het geld enerzijds en het witwassen daarvan anderzijds zo nauw met elkaar verbonden zijn, dat het medeplegen van die diefstal ook medeplegen van het witwassen met zich brengt.

Anders dan de officier van justitie acht de rechtbank niet bewezen dat [verdachte 5] leiding gaf aan de criminele organisatie.

4.4.4.

Verdachte [verdachte 4]

is Chang. Dat kan als volgt worden vastgesteld:

a. Uit de verklaring van [verdachte 6] blijkt dat [verdachte 6] door [verdachte 4] is bezocht na de aanhouding van [verdachte 1] en [verdachte 5] op 7 december 2012 in het deelonderzoek Rotterdam / Dash en met de politie concludeert Soholiait dat [verdachte 4] dus Chang is (die in Tormail #062 zegt bij lid Assen ( [verdachte 6] ) langs te zullen gaan) (bm 139 en 141).

b. In Tormail #034 schrijft Chong aan Ching dat Chang het nummer [telefoonnummer 5] gebruikt. R.S. [naam 9] heeft verklaard dat [verdachte 4] de telefoonnummers [telefoonnummer 6] en [telefoonnummer 7] gebruikt. De historische gegevens van deze telefoons zijn vergeleken en daar blijkt uit dat het nummer van Chang en de nummers van [verdachte 4] regelmatig in elkaars nabijheid zijn (bm 111 en 112).

c. Uit de hiervoor bij [verdachte 1] al besproken Tormails blijkt dat ook Chang op 20 november 2012 meeging met het bezoek naar Engeland. Zingstra heeft [verdachte 4] herkend als een van de leden van de delegatie (bm 142).

Ook voor [verdachte 4] geldt dat deze omstandigheden niet alleen in onderlinge samenhang moeten worden gezien, maar ook in de context met de overige bewijsmiddelen. Zo is bij een huiszoeking bij [verdachte 4] een dongel aangetroffen waarmee is ingelogd op bankrekeningen van money mules (bm 130). Ook is een simkaarthouder gevonden van een sim-kaart waarmee is ingelogd op de rekening van E. [naam 10] (een van de begunstigden genoemd in de configuratiebestanden (bm 131, 132 en 23). Verder staan op een telefoon die onder [verdachte 1] in beslag is genomen sms-berichten met de namen en gegevens van [verdachte 7] en [begunstigde 14] , twee van de money-mules (bm 114). Die sms-berichten zijn uitgewisseld met het nummer [telefoonnummer 8] waarvan aannemelijk is dat deze door [verdachte 4] werd gebruikt (bm 112). R. [naam 9] verklaart dat [verdachte 4] en [verdachte 3] haar hadden gevraagd of zij de bedrijven ZZITC en MNB (twee money mules uit de configuratiebestanden, 23) op haar naam wilde zetten. Zij verklaart dat [verdachte 4] en [verdachte 3] wisten dat ‘
ik in de shit zat en daarom vroegen ze mij ’ (bm 145). Ook [verdachte 6] verklaart dat hij pasjes aan [verdachte 4] afgaf (bm 139). Ook voor [verdachte 4] geldt dus dat zijn betrokkenheid bij TorRAT niet alleen uit de Tormails blijkt, maar ook en in voldoende mate uit andere omstandigheden.

Het verweer dat de dongel en de simkaarthouder mogelijk door [verdachte 3] in de woning van [verdachte 4] zijn achtergelaten en dat [verdachte 3] mogelijk het nummer gebruikte dat aan Chang wordt toegeschreven, slaagt niet, gelet op het geheel van de overige hiervoor bedoelde omstandigheden.

Ook voor [verdachte 4] wordt dus wettig en overtuigend bewezen geacht dat hij lid was van de criminele organisatie achter TorRAT en medepleger van het witwassen. Niet bewezen is het tenlastegelegde leidinggeven aan die criminele organisatie.

4.4.5.

Verdachte [verdachte 3] (Ching)

[verdachte 3] is Ching. Dat kan als volgt worden vastgesteld:

a. Ook voor de identificatie van Ching zijn de Torberichten in de dagen na 7 december 2012, de aanhouding van [verdachte 1] en [verdachte 5] , van belang. Op 9 december 2012 schreef Ching in Tormail #085 dat hij (Ching) wil weten wat er aan de hand is, want hij heeft Cheng al een aantal keren op de chat gehad, maar hij reageert nergens op. In de fouillering van de verdachte [verdachte 1] is een telefoon aangetroffen. Daarop is het volgende ontvangen sms-bericht aangetroffen: ‘What is happening? Ik zie je op chat en krijg geen reactie? laat me ff wat weten. Gr.” (bm 155). Dit bericht is afkomstig van het Thaise nummer van verdachte [verdachte 3] (bm 155 jo 107). Naar aanleiding van de Torberichten in verband met de aanhouding van [verdachte 1] en [verdachte 5] op 7 december 2012 heeft [verdachte 6] de conclusie van de politie bevestigd dat [verdachte 3] Ching is (bm 139 en 141).

b. Uit de hiervoor bij [verdachte 1] al besproken Tormails blijkt dat ook Ching op 20 november 2012 meeging met het bezoek naar Engeland. Zingstra heeft [verdachte 3] herkend als een van de leden van de delegatie (bm 142).

c. In Tormail #034 geeft Chong aan Ching de telefoonnummers van Cheng, Chong en Chang door. Blijkens het politieonderzoek hebben deze drie telefoonnummers één gemeenschappelijk contact, nummer [telefoonnummer 9] , en dat nummer heeft contact gehad met diverse familieleden van [verdachte 3] (bm 106).

Ook voor [verdachte 3] geldt dat deze omstandigheden niet alleen in onderlinge samenhang moeten worden gezien, maar ook in de context met de overige bewijsmiddelen. Zo is [verdachte 3] (naast [verdachte 4] ) aangewezen door R. [naam 9] . Zij verklaarde dat [verdachte 4] en [verdachte 3] haar hadden gevraagd of zij de bedrijven ZZITC en MNB (twee money mules genoemd in de configuratiebestanden, bm 23) op haar naam wilde zetten (bm 145). Dit wordt bevestigd door [naam 11] , die wijst naar ‘Dennis met een Thaise vrouw’ als degene voor wie hij bedrijven heeft overgedragen aan [naam 9] (bm 150). Ook zegt [naam 11] Jeansshop aan Dennis te hebben overgedragen (bm 150). ^[14] Verdachte [begunstigde 17] (ook wel aangeduid als [begunstigde 16] en een van de money mules) zegt dat hij zijn pasjes heeft afgegeven aan een man die in Thailand woonde, naar uit de verklaring van R. [naam 12] blijkt: [verdachte 3] (152 en 153). Verder zijn door getuige [naam 13] in zijn woning papieren gevonden die volgens de getuige door [verdachte 3] zijn achtergelaten, waaronder een brief van ING aan Mohican CV (een van de money mules) met inloggegevens voor internetbankieren (bm 133 e.v.). Kortom, gelet op het voorgaande, en gelet op de Tormails, is de betrokkenheid van [verdachte 3] bij TorRAT bewezen.

Ook voor [verdachte 3] is het lidmaatschap van de criminele organisatie achter TorRAT en het medeplegen van het witwassen wettig en overtuigend bewezen. Over het witwassen wordt nog overwogen dat – naast de verklaringen van verschillende money mules – ook uit de Tormails blijkt dat [verdachte 3] hierbij betrokken was. Verwezen wordt naar Tormail #004 – waarin Ching aan Cheng de gegevens door geeft van money mule [naam 17] . ^[15]

Er is onvoldoende wettig en overtuigend bewijs dat [verdachte 3] leiding heeft gegeven aan de criminele organisatie.

4.4.6.

Verdachte [verdachte 2] (Jantje)

[verdachte 2] is Jantje. Dat blijkt reeds uit het feit dat in Tormail #202 door Jantje wordt geschreven dat hij 11 bitcoins heeft betaald op een bepaald bitcoin adres en dat uit onderzoek van de politie blijkt dat deze betaling is gedaan vanaf een op naam van [verdachte 2] staande account bij Mount Gox in Japan (bm 165 en 166). Daarnaast gebruikt [verdachte 2] het wachtwoord qwertyqwerty12 (bm 138), welk wachtwoord redelijk zeldzaam is (bm 163) en is gebruikt in verband met het beheer van TorRAT (bm 162). ^[16]

Het adres ‘ [mailadres 4] ’ komt in het technisch onderzoek naar de TorRAT malware veelvuldig voor. Zo fungeerde dit emailadres als testadres voor meerdere TorRAT spamruns (bm 33 e.v.) en is het gebruikt bij de registratie van de in een TorRAT spamrun gebruikte domeinnaam [mailadres 1] (Tormail 113 en bm 167). Verder is het emailadres gebruikt om te controleren of TorRAT door antivirussoftware wordt herkend (bm 30) en is [mailadres 4] te linken aan de Mullvad gebruiker die blijkens het politieonderzoek de command and control server heeft beheerd (bm 160 e.v.).

Door de verdediging van [verdachte 2] is het verweer gevoerd dat van de spamrun van 6 en 7 november 2012 niet is vastgesteld dat het gaat om een TorRAT spamrun. Dit verweer slaagt niet. Het ‘jantje’ emailadres is in ieder geval gebruikt voor twee spamruns, die van 6 en 7 februari 2013 en die van 6 en 7 november 2012. Van de spamrun van 6 en 7 februari 2013 wordt ook door de verdediging niet betwist dat dit TorRAT gerelateerd is. Nu bij beide spamruns hetzelfde emailadres wordt gebruikt, gaat de rechtbank bij gebreke van een inhoudelijke uitleg er van uit dat beide spamruns TorRAT betroffen.

Ook voor [verdachte 2] geldt daarom dat hij lid van de criminele organisatie achter TorRAT was. Meer specifiek was zijn rol die van beheerder van de TorRAT malware. Het verweer van de verdediging van [verdachte 2] dat niet uit te sluiten valt dat [mailadres 4] door meerdere gebruikers werd gedeeld en dat ‘Jantje’/ [verdachte 2] mogelijk niet op exclusieve basis de beheer over TorRAT voerde, slaagt niet. Het had op de weg van de verdachte gelegen om, als hij slechts één van de gebruikers was geweest, daarover tekst en uitleg te geven, terwijl bovendien ook een gedeeld beheer van TorRAT per definitie leidt tot de conclusie dat van medeplegen sprake is.

De rechtbank is van oordeel dat er geen sprake is van feitelijk leidinggeven. Dat [verdachte 2] een belangrijke intellectuele bijdrage leverde, betekent – zoals zijn advocaat terecht aanvoert – niet dat hij ook de lakens uitdeelde. Wel moet hij worden gezien als een van de oprichters van de criminele organisatie. Het is immers niet denkbaar dat de organisatie is opgezet zonder zijn actieve betrokkenheid. De malware vormt immers een cruciaal onderdeel in de fraude.

[verdachte 2] is voorts medepleger van feit 1, het witwassen. Ook voor hem geldt dat de diefstal van het geld enerzijds en het witwassen daarvan anderzijds zo nauw met elkaar verbonden zijn, dat het medeplegen van die diefstal ook medeplegen van het witwassen met zich brengt.

4.4.7.

Verdachte [verdachte 6]

Verdachte [verdachte 6] heeft bekend dat hij de gebruiker van het [mailadres 5] adres is en dat hij vennootschappen heeft opgericht c.q. overgedragen, onder meer voor F. [naam 14] (ISF Group, een van de begunstigden genoemd in de configuratiebestanden, bm 23). Hij heeft verder erkend – zoals ook [naam 14] verklaart (bm 144) – dat hij de pasjes van de formele bestuurders innam en afgaf aan [verdachte 4] en [naam 11] (bm 139 e.v.). [naam 9] bevestigt dat [verdachte 6] meeging naar de kamer van koophandel toen zij de bedrijven ZZICT en Stichting Aandelenbeheer MBN Constructie – twee van de money mules uit de configuratiebestanden, bm 23) – van haar naam wilde hebben (bm 145).

[verdachte 6] heeft verklaard dat hij handelde voor een groep investeerders en dat hij geen kwaad zag in zijn werkzaamheden. De rechtbank gaat aan dit verweer voorbij. [verdachte 6] schakelde kwetsbare personen ^[17] in als bestuurder of vertegenwoordiger van bedrijven, er liepen hoge bedragen via die bedrijven en zijn communicatie met [verdachte 4] liep via Tormails waarbij als extra veiligheidsmaatregel werd gewerkt met bijnamen. [verdachte 6] geeft geen logische verklaring voor de verschillende vennootschappen en de mensen er achter en evenmin waarom de pasjes en bankgegevens van de formele bestuurders aan [verdachte 4] en [naam 11] afgegeven werden en voor het geheimzinnige gedoe. Uit de politieverhoren blijkt bovendien dat [verdachte 6] geen verstand heeft van het besturen van vennootschappen, zoals hij ook heeft toegegeven op de zitting. Al met al kan het kan niet anders dan dat [verdachte 6] geweten heeft dat er sprake was van fraude en dat hij daaraan actief heeft meegewerkt.

Wettig en overtuigend is bewezen dat [verdachte 6] als lid ‘Xel’ deel heeft genomen aan de TorRAT criminele organisatie (feit 2) en medepleger is van het witwassen (feit 1). Weliswaar heeft hij een kleinere rol dan die van [verdachte 1] , [verdachte 4] , [verdachte 3] , [verdachte 5] en [verdachte 2] – zoals zijn raadsvrouw terecht aanvoert is [verdachte 6] een loopjongen voor de andere verdachten – maar zijn rol is nog steeds voldoende substantieel. Hij maakte het immers mogelijk om feitelijk over (een deel van) de gestolen gelden te beschikken.

4.5.

Deelonderzoek Rotterdam

Afzonderlijke aandacht verdient het deelonderzoek Rotterdam. Het is niet in geschil dat het daar niet gaat om een TorRAT transactie, maar om een andere wijze van fraude met internetbankieren. Er is op frauduleuze wijze geld overgeboekt van de rekening van Katholieke Belangenvereniging Ooij naar Pharming Supplies CV en met een deel van dat geld zijn gouden munten gekocht bij TAV Hazel. Aldus is een deel van het gestolen geld witgewassen (bm 156 e.v.).

De rechtbank is van oordeel dat [verdachte 1] en [verdachte 5] als medepleger van het witwassen van dit geldbedrag kunnen worden gezien. [verdachte 1] en [verdachte 5] zijn aangehouden op 7 december 2012 toen zij in een auto zaten met [verdachte 8] en Enait, nadat [verdachte 8] en [verdachte 5] de munten bij de juwelier hadden opgehaald (bm 158 e.v). Uit de verklaring van [verdachte 8] blijkt dat [verdachte 1] hierbij de leiding had, terwijl [verdachte 5] bovendien een opmerking had gemaakt over de aanwezigheid van de politie (bm 147).

[verdachte 6] , [verdachte 2] , [verdachte 4] en [verdachte 3] dienen van dit deel van de tenlastelegging te worden vrijgesproken. Voor [verdachte 6] geldt dat er wel aanwijzingen zijn dat hij hierbij betrokken was, maar hij ontkent dit en ook [verdachte 8] verklaart dat [verdachte 6] niet wist dat er munten gekocht gingen worden. Voor [verdachte 2] , [verdachte 4] en [verdachte 3] is geen feitelijke of intellectuele bijdrage vast te stellen aan dit witwassen en er zijn concrete aanwijzingen dat deze fraude los staat van de fraude zoals de criminele organisatie die pleegde (verwezen wordt naar Tormail #035).

4.6.

Slotopmerkingen over het bewijs van de feiten 1 en 2

Mede naar aanleiding van het requisitoir en gevoerde verweren wordt nog het volgende overwogen.

1.
Medeplegen van feit 1

Voor medeplegen is volgens vaste rechtspraak vereist dat er sprake is van een voldoende nauwe en bewuste samenwerking met een ander of anderen, waarbij het accent ligt op de samenwerking en minder op de vraag wie welke feitelijke handelingen heeft verricht. Wel moet de eigen bijdrage van een verdachte van voldoende gewicht zijn. Voor de verdachten [verdachte 1] , [verdachte 5] , [verdachte 4] , [verdachte 3] , [verdachte 2] en [verdachte 6] bestaat die samenwerking daaruit dat zij ieder taken verrichten waardoor de TorRAT fraude mogelijk werd. Enerzijds is de techniek nodig. Anderzijds is het de beschikbaarheid van voldoende en tijdig inzetbare money mules die het mogelijk maakt om gelden daadwerkelijk te ontvreemden: eerst door het op te nemen in de configuratiebestanden en vervolgens als betalingsadres voor het ontvreemde geld. Het witwassen is in deze zaak vervolgens een onlosmakelijk onderdeel van de fraude; immers, als het geld te lang bij de money mules staat, dan kunnen de banken transacties blokkeren en gelden terughalen, zoals in deze zaak veelvuldig is gebeurd. Die samenwerking moet naar zijn aard nauw geweest zijn. Anders dan de verdediging van bijvoorbeeld [verdachte 3] heeft bepleit, is de rechtbank van oordeel dat het niet zo is dat per transactie gekeken moet worden naar de (bewijsbare) bijdrage van ieder der verdachten. Voor ieder van deze verdachten geldt dat zij een rol van voldoende gewicht hebben gespeeld binnen de TorRAT fraude en dat rechtvaardigt strafrechtelijke verantwoordelijkheid voor het geheel.

2.
Pleegperiode

Door de verdediging van verschillende verdachten is aangevoerd dat zij in ieder geval na december 2012 geen betrokkenheid meer hadden met TorRAT. Aan de verdediging van die verdachten kan worden toegegeven dat uit de bewijsmiddelen blijkt dat de TorRAT fraude met name plaatvond in de tweede helft van 2012. In 2013 is enige tijd rust geweest, met name tussen februari en juni 2013. Daarna zijn er weer TorRAT fraudes of pogingen daartoe geweest in de periode tot oktober 2013. Voor zover door de verdediging is aangevoerd dat er geen betrokkenheid meer was in 2013, had het op hun weg gelegen om dat nader te onderbouwen. Hetzelfde geldt voor het verweer van diverse verdachten dat zij voor bepaalde data (in ieder geval) geen betrokkenheid bij TorRAT hadden. Als pleegperiode houdt de rechtbank daarom aan de periode van 4 mei 2012 (de datum van de oudste Tormail) tot en met 21 oktober 2013. Laatstgenoemde datum is de dag van aanhouding van [verdachte 1] , [verdachte 5] , [verdachte 4] en [verdachte 2] , zie p. 8 van het Armor relaasproces-verbaal. Na die datum zijn geen nieuwe TorRAT gevallen gebleken (bm 8 en 24).

3.
Pleegplaats

Door de verdediging van [verdachte 3] is aangevoerd dat een bedrag van € 7.013,68 is witgewassen via Jeanesshop in Belgie en er op gewezen dat Belgie niet als pleegplaats op de telastelegging staat. Dit verweer slaagt en in zoverre vindt in de zaken van alle verdachten een partiele vrijspraak terzake van het witwassen plaats (voornoemd bedrag is onderdeel van het totaalbedrag genoemd in feit 1).

4.
Bewezen verklaarde bedrag (feit 1)

Gelet op hetgeen hiervoor is overwogen over de verschillende overboekingen en begunstigden en nu enkele money mules niet nader zijn besproken in dit vonnis, zal de rechtbank in de bewezenverklaring volstaan met het bewezen verklaren van het witwassen van geldbedragen en niet van een concreet bedrag.

5.
Getuigenverklaringen

De verdediging van een aantal verdachten heeft aangevoerd dat de verklaringen van diverse money mules, van [verdachte 6] en van [naam 11] onvoldoende betrouwbaar zijn en/of dat het ondervragingsrecht ten aanzien van deze getuigen niet naar behoren kon worden gerealiseerd, bijvoorbeeld doordat zij zich op een verschoningsrecht beriepen of bijzonder emotioneel werden. Dit verweer slaagt niet. De voor het bewijs gebruikte getuigenverklaringen vinden voldoende steun in andere bewijsmiddelen en de hierna volgende veroordeling berust niet in doorslaggevende mate op deze verklaringen.

De verdediging van [verdachte 3] heeft bij gelegenheid van het pleidooi een voorwaardelijk verzoek gedaan tot het horen van [begunstigde 10] als getuige. Aan de beoordeling van dit verzoek wordt niet toegekomen nu niet is voldaan aan de voorwaarde waaronder dit verzoek is gedaan (zie p. 10 bovenaan van de pleitnota).

6. Oogmerk organisatie

De verdediging van een aantal verdachten heeft terecht aangevoerd dat het oogmerk van de criminele organisatie in feit 2 van de tenlastelegging te ruim is omschreven. Voor die delen van het tenlastegelegde oogmerk waar geen bewijs voor is, vindt een partiele vrijspraak plaats.

4.7.

Bewezenverklaring

In bijlage II heeft de rechtbank de inhoud van wettige bewijsmiddelen opgenomen, houdende voor de bewezenverklaring redengevende feiten en omstandigheden. Op grond daarvan, en op grond van de redengevende inhoud van het voorgaande, is wettig en overtuigend bewezen dat de verdachte het onder 1 en 2 ten laste gelegde heeft begaan op die wijze dat:

1.

hij, in de periode van 4 mei 2012 tot en met 21 oktober 2013

in Nederland en/in Groot-Brittannië,

tezamen en in vereniging met anderen

van het plegen van witwassen een gewoonte heeft gemaakt, door van voorwerpen, te weten geldbedragen de herkomst en de verplaatsing te verhullen,

immers hebben verdachte en zijn mededaders voornoemde geldbedragen verkregen door

- het (laten) versturen van grote hoeveelheden e-mailberichten (zogenaamde 'spamruns') waardoor computers van derden zijn geïnfecteerd met Torrat malware en vervolgens

- de mogelijkheid verkregen het online betalingsverkeer tussen de klant en de bank te manipuleren en vervolgens die gelden onder valse omschrijvingen naar andere bankrekeningen overgeschreven en/of laten overschrijven dan waartoe opdracht was gegeven en vervolgens

- die geldbedragen
( meermalen
) doorgeboekt naar (buitenlandse en/of zakelijke) bankrekeningen die (indirect) door hem en/of zijn mededaders werden beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens)

- die geldbedragen van die bankrekeningen opgenomen in contanten (ter doorbreking van de papertrail) en/of- de digitale banktegoeden en/of contante bedragen omgezet naar 'bitcoins',en/of-een door middel van oplichting/phishing van Katholieke Belangenvereniging voor Ouderen (KBO) te Ooij verkregen geldbedrag (ongeveer 8.155,00 zegge acht duizend en honderd en vijfenvijftig euro) doorgeboekt/overgeboekt naar (een) bankrekening(en) die (indirect) door hem en/of zijn mededaders werd(en) beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens) met dat geldbedrag gouden munten gekocht en/of beheerd

welke geldbedragen- middellijk of onmiddellijk - van misdrijf afkomstig zijn,

terwijl hij en zijn mededaders wisten dat/die voorwerpen- onmiddellijk of middellijk -afkomstig waren uit enig misdrijf;

2.

hij in de periode van 4 mei 2012 tot en met 21 oktober 2013,

in Nederland en/in Groot-Brittannië,

heeft deelgenomen aan een organisatie, welke organisatie tot oogmerk had het plegen van misdrijven, namelijk het

- opzettelijk en wederrechtelijk toegang verschaffen tot een geautomatiseerd werk (strafbaar gesteld in artikel 138ab Wetboek van Strafrecht);

- opzettelijk en wederrechtelijk toegang belemmeren tot een geautomatiseerd werk of daaraan gegevens aan te bieden of toe te zenden (strafbaar gesteld in artikel 138b Wetboek van Strafrecht)

-diefstal door twee of meer verenigde personen en door middel van een valse sleutel (strafbaar gesteld in 311 lid 1 onder 4 en 5 Wetboek van Strafrecht)

-witwassen als bedoeld in artikel 420ter Wetboek van Strafrecht,

van welke organisatie verdachte mede- oprichter en- leider was.

Hetgeen meer of anders is ten laste gelegd is niet bewezen. De verdachte moet daarvan worden vrijgesproken.

5. Strafbaarheid feiten

De verdediging heeft ontslag van alle rechtsvervolging bepleit ten aanzien van het onder 1 tenlastegelegde. Hiertoe is het volgende aangevoerd:

De eerste twee ten laste gelegde witwasvarianten zijn niet te kwalificeren als het strafbare feit witwassen. Deze varianten worden telkens door de toevoeging van de frase “en/of” gescheiden en bij elk van de varianten ontbreekt het bestanddeel dat de verdachte “wist dan wel redelijkerwijs had moeten vermoeden dat de voorwerpen afkomstig zijn van enig misdrijf”.

Voorts is het daderschap van de verdachte gebaseerd op de gestelde betrokkenheid van de verdachte bij TorRAT en de omstandigheid dat de witgewassen voorwerpen afkomstig zouden zijn uit TorRAT hetgeen betekent dat er derhalve sprake is van witwassen van voorwerpen die zijn verkregen door het zelf begaan van een strafbaar feit. In een dergelijk geval is de kwalificatie van het witwassen - voor zover dat ziet op het voorhanden hebben en het verwerven van die voorwerpen - niet mogelijk.

De rechtbank verwerpt beide verweren en overweegt daartoe als volgt.

Het is niet ongebruikelijk om verschillende vormen van witwassen op de onderhavige manier cumulatief ten laste te leggen. Het is naar het oordeel van de rechtbank evident dat de frase “terwijl hij en/of zijn mededader(s) wist(en), althans redelijkerwijs moest(en) vermoeden dat dat/die voorwerp(en) – onmiddellijk of middellijk – (deels) afkomstig was/waren uit enig misdrijf” betrekking heeft op alle daaraan voorafgaande witwasvarianten.

Uit de bewezenverklaring volgt dat de verdachte handelingen heeft verricht die een op het verhullen van de criminele herkomst van de door eigen misdrijf verkregen geldbedragen gericht karakter heeft. Het bewezenverklaarde kan derhalve worden gekwalificeerd als (gewoonte)witwassen.

De bewezen feiten leveren op:

1.

medeplegen van het een gewoonte maken van witwassen ;

2.

het deelnemen aan een organisatie die tot oogmerk heeft het plegen van misdrijven, van welke organisatie hij (mede)oprichter en leider was.

Er zijn geen feiten of omstandigheden aannemelijk geworden die de strafbaarheid van de feiten uitsluiten.

De feiten zijn dus strafbaar.

6. Strafbaarheid verdachte

Er is geen omstandigheid aannemelijk geworden die de strafbaarheid van de verdachte uitsluit.

De verdachte is dus strafbaar.

7. Motivering straf

7.1.

Algemene overweging

De straf die aan de verdachte wordt opgelegd, is gegrond op de ernst van de feiten, de omstandigheden waaronder de feiten zijn begaan en de persoon en de persoonlijke omstandigheden van de verdachte. Daarbij wordt in het bijzonder het volgende in aanmerking genomen.

7.2.

Feiten waarop de straf is gebaseerd

De verdachte heeft zich samen met anderen schuldig gemaakt aan grootschalige en langdurige criminele activiteiten, die opvallen door professionaliteit, geraffineerdheid en het intensieve samenwerkingsverband.

Voornoemde criminele activiteiten bestonden hieruit dat de verdachte samen met zijn mededaders rekeninghouders van Rabobank en ING-bank (ING) heeft benadeeld.

Via zogenaamde “spamruns” werden duizenden mails verstuurd naar met name midden- en kleinbedrijven in de zakelijke sector. Deze mails betroffen veelal aanmaningen of voorstellen voor een betalingsregeling. In de mails zat een link naar, ogenschijnlijk, een openstaande factuur of ander (pdf)bestand, maar in werkelijkheid betrof het een programma dat ongemerkt kwaadaardige software, in casu zogenaamde “TorRAT malware”, op de computer van de gebruikers achterliet waardoor het internetbankieren op afstand door een Command en Control server kon worden gemanipuleerd. Bij het gebruik van internetbankieren op een besmette computer kon zo het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze konden betalingen door de TorRAT malware worden gewijzigd en omgeleid naar de rekeningen van zogeheten money mules, zijnde personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hadden gesteld. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze – al dan niet met tussenkomst van een tweedelijns-money mule waar het geld naar werd doorgeboekt – zo snel mogelijk contant te maken middels een contante geldopname of werden omgezet in bitcoins. De opgenomen, doorbetaalde en/of in bitcoins omgezette bedragen werden op deze wijze witgewassen.

De verdachte was één van de oprichters van en had een leidinggevende rol binnen voornoemd samenwerkingsverband, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd. Hij onderhield als enige contact met de TorRAT malware-beheerder zijnde medeverdachte [verdachte 2] en hij gaf opdrachten aan- en werd terug gerapporteerd door de andere medeverdachten.

7.3.

Persoonlijke omstandigheden van de verdachte

7.3.1.

Strafblad

De rechtbank heeft acht geslagen op een uittreksel uit de justitiële documentatie van

6 juni 2016, waaruit blijkt dat de verdachte eerder is veroordeeld, zij het al geruime tijd geleden.

7.4.

Conclusies van de rechtbank

Gelet op hetgeen de rechtbank hierboven heeft overwogen, komt zij tot de volgende conclusies.

De verdachte en zijn medeverdachten hebben het systeem van internetbankieren op grove wijze aangevallen en het vertrouwen dat een ieder moet kunnen hebben in de integriteit van het elektronische betalingsverkeer geschaad.

Niet alleen een groot aantal rekeninghouders, maar ook de bankinstellingen zijn door het handelen van de verdachte en zijn medeverdachten gedupeerd geraakt.

Daarnaast wordt door het witwassen van “crimineel verkregen geld” het plegen van criminele activiteiten in stand gehouden en indirect ook bevorderd, want zonder personen als de verdachte die criminele gelden een (schijnbaar) legale herkomst verschaffen, is het genereren van illegale winsten een stuk minder lucratief. Witwassen vormt tevens een ernstige bedreiging van de legale economie en tast de integriteit van het financiële en economische verkeer aan.

De verdachte heeft zich bij zijn handelen enkel laten leiden door financieel gewin en heeft daarbij tevens misbruik gemaakt van personen die door financiële en/of andersoortige problemen als kwetsbaar zijn aan te merken.

Voor feiten als de onderhavige kan, gezien de ernst, de duur en het grote aantal gedupeerden, niet met een andersoortige straf dan een gevangenisstraf worden volstaan.

Bij de bepaling van de duur daarvan is gelet op straffen die in andere, min of meer vergelijkbare zaken, zijn opgelegd en de leidinggevende rol van de verdachte. Anders dan door de verdediging is bepleit, is geen aansluiting gezocht bij de LOVS orientatiepunten voor oplichting. Die orientatiepunten zijn in dit geval niet passend gelet op de grootschalige wijze van fraude en het grote aantal slachtoffers.

Op grond van het vorenstaande acht de rechtbank, alles afwegende, een onvoorwaardelijke gevangenisstraf van na te noemen duur passend en geboden.

8. In beslag genomen voorwerpen

De lijst van inbeslaggenomen voorwerpen is als bijlage III aan dit vonnis gehecht.

De rechtbank zal overeenkomstig de vordering van de officier van justitie de onder de nummers 4 t/m 64 en 66 op de lijst van inbeslaggenomen voorwerpen genoemde voorwerpen verbeurd verklaren.

De bewezen feiten zijn met behulp van deze voorwerpen begaan danwel deze goederen kunnen bijgedragen hebben aan het begaan van die feiten.Voor toepassing van artikel 33c, eerste lid Sr wordt geen aanleiding gezien.

Ten aanzien van de onder nummer 65 genoemde sleutelbos zal een last worden gegeven tot teruggave aan de rechthebbende zijnde de verdachte.

De verdediging heeft subsidiair verzocht te bepalen dat privéfoto’s, voor zover aanwezig op de gegevensdragers, worden veiliggesteld en geretourneerd. Nu de officier van justitie heeft toegezegd zich hiervoor te zullen inspannen, kan dit punt verder onbesproken blijven.

9. Vorderingen benadeelde partijen/schadevergoedingsmaatregel

Coöperatieve Rabobank U.A. (Rabobank) en ING hebben zich als benadeelde partijen in het geding gevoegd en schriftelijke vorderingen tot schadevergoeding ingediend. De banken stellen schade te hebben geleden wegens het vergoeden van de als gevolg van bancaire malware ontstane schades aan hun benadeelde rekeninghouders. Het gaat om een bedrag van respectievelijk € 166.227,25 (Rabobank) en € 105.491,42 (ING).

De officier van justitie heeft geconcludeerd tot toewijzing van beide vorderingen.

Door de verdediging is bepleit dat beide benadeelde partijen niet ontvankelijk in hun vorderingen dienen te worden verklaard. Hiertoe is - onder verwijzing naar jurisprudentie van de Hoge Raad dienaangaande - aangevoerd dat Rabobank en ING geen rechtstreekse schade hebben geleden als gevolg van het onder 1 bewezen verklaarde feit. Het onder 1 bewezen verklaarde feit is jegens de desbetreffende rekeninghouders gepleegd en Rabobank en ING zijn derhalve niet getroffen in enig belang dat door de met dat feit overtreden strafbepaling wordt beschermd.

De rechtbank verwerpt het verweer en overweegt daartoe het volgende.

Vooropgesteld moet worden dat een benadeelde partij een vordering tot schadevergoeding kan indienen als er sprake is van schade die rechtstreeks aan haar is toegebracht door het bewezenverklaarde feit (art. 361 en 51f, eerste lid, Sv). Uit de jurisprudentie van de Hoge Raad blijkt dat deze eis niet te strikt moet worden uitgelegd (vergelijk ECLI:NL:HR:2016:1522 en de conclusie bij dat arrest). Er moet worden gekeken naar de concrete omstandigheden van het geval, waarbij de vraag of het slachtoffer is geraakt in het belang dat de geschonden norm beschermt, niet doorslaggevend is (vergelijk voornoemd arrest). Niet uitgesloten is dat de schade weliswaar niet het rechtstreekse gevolg is van de bewezen verklaarde gedraging als zodanig, maar dat - gelet op de uit de bewijsvoering blijkende gedragingen van de verdachte - de door de benadeelde partij geleden schade in zodanig nauw verband staat met het bewezen verklaarde feit, dat die schade redelijkerwijs moet worden aangemerkt als rechtstreeks aan de benadeelde partij door dat feit te zijn toegebracht, zoals bedoeld in voornoemde wetsartikelen.

Kijkend naar de concrete omstandigheden van het geval is naar het oordeel van de rechtbank sprake van een zodanig nauw verband. De verdachte is veroordeeld voor lidmaatschap van een criminele organisatie die met behulp van een computervirus geld ontvreemdde van rekeningen van de klanten van de ING en de Rabobank. Die gelden werden vervolgens weggesluisd en zo buiten het bereik van de banken gehouden. Voor zover de banken hun klanten hebben gecompenseerd voor de schade (zie hierna) is dat in het maatschappelijke verkeer een voorzienbare reactie en het rechtstreekse gevolg van een fraude die zich richt op klanten van een bank.

De vordering van de Rabobank

Rabobank zal in haar vordering niet-ontvankelijk worden verklaard nu de onderbouwing van de vordering zich beperkt tot een verwijzing in het voegingsformulier naar de aangifte en er geen bewijsstukken in het geding zijn gebracht waaruit blijkt dat de Rabobank haar klanten heeft gecompenseerd. De rechtbank is van oordeel dat een nader onderzoek naar de gegrondheid van de vordering en de omvang daarvan een onevenredige belasting van het strafproces zou vormen. De vordering kan derhalve slechts bij de burgerlijke rechter worden aangebracht.

De rechtbank ziet geen aanleiding voor een proceskostenveroordeling in de verhouding tussen de verdachte en de Rabobank.

De vordering van de ING

De rechtbank is van oordeel dat aan de benadeelde partij door het onder 1 bewezen verklaarde feit rechtstreeks schade is toegebracht en dat de vordering genoegzaam is onderbouwd.

De vordering zal worden toegewezen. De verdachte moet de benadeelde partij een schadevergoeding betalen van € 105.491,42.

Nu de verdachte het strafbare feit ter zake waarvan schadevergoeding zal worden toegekend samen met mededaders heeft gepleegd, zijn zij daarvoor ieder hoofdelijk aansprakelijk. Indien en voor zover de mededaders de benadeelde partij betalen is de verdachte in zoverre jegens de benadeelde partij van deze betalingsverplichting bevrijd.

Nu de vordering van de benadeelde partij zal worden toegewezen, zal de verdachte worden veroordeeld in de kosten door de benadeelde partij gemaakt, tot op heden begroot op nihil en in de kosten ten behoeve van de tenuitvoerlegging nog te maken.

Tevens wordt oplegging van de hierna te noemen maatregel als bedoeld in artikel 36f van het Wetboek van Strafrecht passend en geboden geacht.

10. Toepasselijke wettelijke voorschriften

Gelet is op de artikelen 33, 33a, 36f, 47, 57, 140 en 420ter van het Wetboek van Strafrecht.

11. Bijlagen

De in dit vonnis genoemde bijlagen maken deel uit van dit vonnis.

12. Beslissing

De rechtbank:

verklaart bewezen, dat de verdachte de onder 1 en 2 ten laste gelegde feiten, zoals hiervoor omschreven, heeft begaan;

verklaart niet bewezen hetgeen aan de verdachte meer of anders ten laste is gelegd dan hiervoor bewezen is verklaard en spreekt de verdachte daarvan vrij;

stelt vast dat het bewezen verklaarde oplevert de hiervoor vermelde strafbare feiten;

verklaart de verdachte strafbaar;

veroordeelt de verdachte tot een
gevangenisstraf voor de duur van
36 (zesendertig) maanden ;

beveelt dat de tijd die door de veroordeelde voor de tenuitvoerlegging van deze uitspraak in verzekering en in voorlopige hechtenis is doorgebracht, bij de uitvoering van de opgelegde gevangenisstraf in mindering wordt gebracht, voor zover deze tijd niet reeds op een andere vrijheidsstraf in mindering is gebracht;

beslist ten aanzien van de voorwerpen, geplaatst op de lijst van inbeslaggenomen en nog niet teruggegeven voorwerpen, als volgt:
- verklaart verbeurd als bijkomende straf voor de feiten 1 en 2 de voorwerpen onder de nummers 4 t/m 64 en 66 op de als bijlage III gevoegde lijst van inbeslaggenomen goederen;

- gelast de teruggave aan de verdachte van het onder nummer 65 inbeslaggenomen goed;

verklaart de benadeelde partij Rabobank niet-ontvankelijk in de vordering;

veroordeelt de verdachte hoofdelijk met diens mededaders, des dat de een betalende de ander zal zijn bevrijd, om tegen behoorlijk bewijs van kwijting aan de benadeelde partij ING, te betalen een bedrag van
€ 105.491,42 (zegge: honderdvijfduizendvierhonderdeenennegentig euro en tweeënveertig eurocent), geheel bestaande uit materiële schade, met dien verstande dat indien en voor zover zijn mededaders betalen de verdachte in zoverre van deze verplichting is bevrijd;

veroordeelt de verdachte in de proceskosten door de benadeelde partij ING gemaakt, tot op heden aan de zijde van de benadeelde partij begroot op nihil, en in de kosten ten behoeve van de tenuitvoerlegging nog te maken;

legt aan de verdachte de maatregel tot schadevergoeding op, inhoudende de verplichting aan de staat ten behoeve van de benadeelde partij ING te betalen € 105.491,42 (zegge: honderdvijfduizendvierhonderdeenennegentig euro en tweeënveertig eurocent);

beveelt dat bij gebreke van volledige betaling en volledig verhaal van het bedrag van

€ 105.491,42 vervangende hechtenis zal worden toegepast voor de duur van 365 dagen; toepassing van de vervangende hechtenis heft de betalingsverplichting niet op;

verstaat dat betaling aan de benadeelde partij ING, waaronder begrepen betaling door zijn mededaders, tevens geldt als betaling aan de staat ten behoeve van de benadeelde partij en omgekeerd.

Dit vonnis is gewezen door:

mr. N. Doorduijn, voorzitter,

en mrs. A.A. Kalk en C.M.A.T. van der Geest, rechters,

in tegenwoordigheid van mr. M.G. Kuijs, griffier,

en uitgesproken op de openbare terechtzitting van deze rechtbank op de datum die in de kop van dit vonnis is vermeld.

Bijlage I

Tekst gewijzigde tenlastelegging

Aan de verdachte wordt ten laste gelegd dat

1.

hij, op een of meer tijdstippen in of omstreeks de periode van 4 mei 2012 tot en met 21 oktober 2013, te Utrecht en/of Amsterdam en/of Haarlem en/of Maastricht en/of Emmen en/of Zwolle en/of Roden en/of Alkmaar en/of Woubrugge, althans in Nederland en/of in Groot-Brittannië, tezamen en in vereniging met een ander of anderen, althans alleen, van het plegen van witwassen een gewoonte heeft gemaakt, door

(artikel 420bis eerste lid onder a)

van (een) voorwerp(en), te weten (een) geldbedrag(en) (ongeveer 279.873,67 zegge tweehonderd negenenzeventig duizend en achthonderd drieënzeventig komma zevenzestig euro) en/of een of meer Bitcoins, althans digitale 'wallets' inhoudende de digitale 'currency' bitcoins,

de werkelijke aard, de herkomst, de vindplaats, de vervreemding en/of de verplaatsing te verbergen en/of te verhullen, althans door te verbergen en/of te verhullen wie de

rechthebbende op een voorwerp, te weten voornoemde (een) geldbedrag(en) en/of Bitcoins, althans digitale 'wallets' inhoudende de digitale 'currency' bitcoins zijn/waren en/of door te verbergen en/of te verhullen wie voornoemde voorwerp(en) voorhanden had,

immers, heeft/hebben verdachte en/of zijn mededader(s) (voornoemd(e) geldbedrag(en) verkregen door

-het (laten) versturen van (grote hoeveelheden) e-mailberichten (zogenaamde 'spamruns') waardoor computers van derden zijn geïnfecteerd met (Torrat) malware en/of (vervolgens)

-de mogelijkheid verkregen het online betalingsverkeer tussen de klant en de bank te manipuleren en/of (vervolgens) die gelden (onder valse omschrijvingen) naar andere bankrekeningen overgeschreven en/of (laten) overschrijven dan waartoe opdracht was gegeven, althans gelden (onder valse omschrijvingen) heeft overgeschreven en/of (laten) overschrijven waar de klant geen opdracht toe had gegeven en/of vervolgens

-dat/die geldbedrag(en) meermalen doorgeboekt/overgeboekt naar (buitenlandse en/of zakelijke) bankrekeningen die (indirect) door hem en/of zijn mededaders werden beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens)

-dat/die geldbedrag(en) van die bankrekeningen opgenomen in contanten (ter doorbreking van de papertrail) en/of

-de digitale banktegoeden en/of contante bedragen omgezet naar 'bitcoins', althans met die geldbedragen 'bitcoins' gekocht en/of verkocht en/of beheerd in diverse niet op de natuurlijke persoon tenaamgestelde 'wallets', en/of

-een door middel van oplichting/phising van Katholieke Belangenvereniging voor Ouderen (KBO) te Ooij verkregen geldbedrag (ongeveer 8.155,00 zegge acht duizend en honderd en vijfenvijftig euro) doorgeboekt/overgeboekt naar (een) bankrekening(en) die (indirect) door hem en/of zijn mededaders werd(en) beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens) met dat geldbedrag gouden munten gekocht en/of beheerd,

welke geldbedrag(en) en/of 'bitcoins'- middellijk of onmiddellijk - van misdrijf afkomstig zijn,

en/of

heeft/hebben verdachte en/of zijn mededader(s) gebruik gemaakt van diverse bankrekeningen op naam van diverse moneymules en/of via die bankrekeningen geld ontvangen en/of overgeboekt of laten overboeken, welke banktegoeden en/of geldbedragen en/of banktransacties (deels) -middellijk of onmiddellijk - afkomstig waren van enig misdrijf ,

welke voornoemde handelingen door verdachte en/of zijn mededader(s)

zijn verricht om daarmee de werkelijke aard, de herkomst, de vindplaats, de vervreemding en/of de verplaatsing te verbergen en/of te verhullen en/of te verbergen en/of te verhullen wie de rechthebbende op voornoemd(e) voorwerp(en) was/waren en/of te verhullen wie voornoemd(e) voorwerp(en) (daadwerkelijk, althans mede) voorhanden had(den)

en/of

(420bis, eerste lid onder b)

voornoemde voorwerp(en), te weten (een) geldbedrag(en) (ongeveer 279.873,67 zegge tweehonderd negenenzeventig duizend en achthonderd drieënzeventig komma zevenzestig euro) en/of een of meer Bitcoins, althans digitale 'wallets' inhoudende de digitale 'currency' bitcoins, verworvenen/of voorhanden gehad en/of overgedragen en/of omgezet en/of daarvan gebruik gemaakt,

terwijl hij en/of zijn mededader(s) wist(en), althans redelijkerwijs moest(en) vermoeden dat dat/die voorwerp(en) - onmiddellijk of middellijk - (deels) afkomstig was/waren uit enig misdrijf;

art 420ter jo 420bis WvSr artikel 420bis WvSr

artikel 420quater WvSr

art 420bis lid 1 ahf/ond a Wetboek van Strafrecht

2.

Hij, op een of meer tijdstip(pen) in of omstreeks de periode van 4 mei 2012 tot en

met 21 oktober 2013

in Utrecht, Amsterdam, Haarlem, Maastricht, Emmen, Zwolle, Roden, Alkmaar, Woubrugge, althans in Nederland en/of in Groot-Brittannië,

tezamen en in vereniging met (een) ander(en), althans alleen,

heeft deelgenomen aan een organisatie, welke organisatie tot oogmerk had het plegen van misdrijven, namelijk het

-opzettelijk en wederrechtelijk toegang verschaffen tot een geautomatiseerd werk (strafbaar gesteld in artikel 138ab Wetboek van Strafrecht);

-opzettelijk en wederrechtelijk toegang belemmeren tot een geautomatiseerd werk of daaraan gegevens aan te bieden of toe te zenden (strafbaar gesteld in artikel 138b Wetboek van Strafrecht)

-opzettelijk en wederrechtelijk met technisch hulpmiddel gegevens, die worden overgedragen of bewerkt middel een geautomatiseerd werk, aftappen of opnemen (strafbaar gesteld in artikel 139c Wetboek van Strafrecht);

-opzettelijk in een geautomatiseerd werk een technisch hulpmiddel aanwezig doen zijn met oogmerk om geautomatiseerde gegevens af te tappen of op te nemen (strafbaar gesteld in artikel 139d Wetboek van Strafrecht);

-opzettelijk beschikken over een voorwerp waarvan hij weet/redelijkerwijs moet vermoeden dat daarop gegevens zijn vastgelegd die door onrechtmatig afluisteren, aftappen en/of opnemen zijn verkregen (strafbaar gesteld in artikel 139e Wetboek van Strafrecht);

-diefstal door twee of meer verenigde personen en/of door middel van een valse sleutel (strafbaar gesteld in 311 lid 1 onder 4 en 5 Wetboek van Strafrecht);

-door samenweefsel van verdichtselen en listige kunstgrepen de klanten van bankinstellingen bewegen tot afgifte van (TAN) codes ter signering van betalingen via internetbankieren (strafbaar gesteld in artikel 326 Wetboek van Strafrecht);

-witwassen als bedoeld in artikel 420bis en/of 420ter en/of 420quater Wetboek van Strafrecht;

van welke organisatie verdachte (mede-) oprichter en/of (mede-) leider en/of (mede-) bestuurder was.

art 140 lid 3 Wetboek van Strafrecht

Voetnoten

1. Voor de leesbaarheid wordt verwezen naar de bewijsmiddelen uit bijlage II bij dit vonnis, steeds aangeduid met ‘bm’ gevolgd door het nummer.

2. Weliswaar heeft de verdediging verzocht om tegenonderzoek tegen de bevindingen van Fox-IT, maar dat verzoek richt zich op de causaliteit tussen het TorRAT virus enerzijds en de individuele overboekingen die ING, de Rabobank en Fox-IT toeschrijven aan het virus anderzijds en niet zo zeer op het bestaan en de werking van het virus als zodanig.

3. Zie de ‘aantekeningen i.v.m. causaal verband TorRAT’, overgelegd bij requisitoir.

4. De overboekingen waarbij is aangegeven dat de feitelijke schade nihil is.

5. Zie voetnoot 2.

6. Het IP adres 95.211.13.35 is blijkens het rapport van Trend Micro ook gebruikt door ‘Jantje’ bij het gebruik van scan4you. ‘Jantje’ gebruikte blijkens dat rapport scan4you om de TorRAT malware te testen op herkenning door anti-virussoftware (bm 30).

7. Zie p. 30 van het Armor relaasproces-verbaal.

8. [naam 15] komt bovendien veelvuldig op andere wijze in beeld. Twee van de in beslaggenomen dongels zijn gebruikt om in te loggen op de bankrekeningen van zowel [naam 15] als andere begunstigden uit de cofiguratiebestanden (bm 123 en 130).

9. Om misverstanden te voorkomen: de rechtbank ziet de overboeking van de rekening van een slachtoffer naar de money mule als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door contant maken of omzetting in bitcoins die de rechtbank als witwassen aanmerkt.

10. Om te voorkomen dat dit document automatisch links aanbrengt naar emailadressen is het @ teken zo veel mogelijk vervangen door “[AT]”.

11. Tormailgebruiker ‘Eng’ is blijkens Tormail #053 [naam 16] . Dit wordt hierna niet verder uitgewerkt nu Zingstra thans niet terecht staat.

12. Medeverdachte [verdachte 7] wordt in een vonnis van gelijke datum veroordeeld voor medeplegen van een deel van het witwassen (feit 1) en vrijgesproken van lidmaatschap van een criminele organisatie (feit 2). Zijn verklaringen worden deels in dit vonnis voor het bewijs gebruikt, maar voor het overige blijft hij hier buiten beschouwing.

13. Alle hierna genoemde tormails zijn opgenomen in § B van bijlage II bij dit vonnis.

14. Geld dat volgens de aangifte van de Rabobank frauduleus is overgeboekt naar Mohican C.V. (een van de money mules), is doorgeboekt naar de rekening van Jeansshop in Belgie (bm 32).

15. Uit de als bewijsmiddel 7 opgenomen aangifte van de Rabobank blijkt dat naar de rekening van [naam 17] bedragen zijn overgeboekt, dat deze zijn doorgeboekt naar de rekening van verdachte [verdachte 7] en dat die vervolgens bij een geldautomaat zijn opgenomen.

16. Het verweer dat ziet op de weergave van dit wachtwoord op p. 2211 en 2614 van het dossier vindt zijn weerlegging in de reactie van de officier van justitie daarop bij repliek.

17. [naam 14] had schulden en zat in de bijstand (bm 144), [verdachte 8] was drugsverslaafd (bm 147) en [naam 9] had lichamelijke en psychische klachten (bm 145).