11 april 2019 - In een strafzaak is aan een verdachte ten laste gelegd dat hij zich in de periode 2010 tot en met 2012 schuldig heeft gemaakt aan een aantal feiten, waaronder oplichting en het uitgeven van vals geld. Daarnaast zijn cybercrime feiten ten laste gelegd, te weten twee ‘hacks’ of pogingen daartoe en het voorhanden hebben van computergegevens om daarmee mogelijk incassofraude te plegen.
Zo zou verdachte in december 2011 opzettelijk en wederrechtelijk in een computer van ECT zijn binnengedrongen met behulp van een softwareprogramma. De rechtbank Rotterdam achtte dit binnendringen niet bewezen, wel een poging daartoe. In hoger beroep heeft het hof daarentegen wel bewezen geacht dat verdachte erin was geslaagd het geautomatiseerd werk van de ECT binnen te dringen. Daarvoor gebruikte het hof dezelfde bewijsmiddelen die de rechtbank eerder had gebruikt om tot een bewezenverklaring van de poging te komen.
In cassatie is over dit oordeel geklaagd. Hierbij is aangevoerd dat uit de bewijsmiddelen wel kon volgen dat de verdachte door middel van een computer programma de beveiliging van het netwerk van de ECT had afgetast, maar dat daaruit nog niet bleek dat verdachte daadwerkelijk in het geautomatiseerd werk was binnengedrongen.
In zijn conclusie meende de advocaat-generaal dat onder ‘binnendringen’ ook het binnendringen in een systeem valt waarbij geen beveiliging wordt doorbroken, maar waarvoor wel een technische ingreep wordt aangewend. Uit de bewijsmiddelen kon volgens hem worden afgeleid dat in de website van ECT gezocht was naar kwetsbaarheden waarop door het geautomatiseerd werk gereageerd is met blokkering. Naar zijn mening is er sprake geweest van binnendringen van de website, zodat de computerfraude voltooid was.
In zijn arrest van 9 april 2019 heeft de Hoge Raad de uitspraak van het hof vernietigd. Ook de Hoge Raad is van mening dat uit de bewijsmiddelen niet kan volgen dat de verdachte is ‘binnengedrongen’. De enkele omstandigheid dat de verdachte met behulp van een scan-programma de website van de aangever op kwetsbaarheden heeft onderzocht, waarvan een aantal werd geblokkeerd en dat als gevolg daarvan 'niet ondenkbaar is dat er een geslaagde aanval heeft plaatsgevonden' volstaat daartoe niet. De vermelding van aanvallen door middel van "cross site scripting" en "directory traversal" waarvan de werking niet nader is toegelicht, maakt dat niet anders, in aanmerking genomen dat aldus zonder nadere motivering, die ontbreekt, in het midden blijft of de verdachte toegang heeft verworven door een technische ingreep of dat het bij een poging daartoe is gebleven.
Klik
hier voor het arrest.
