Column


IT-jurist Peter van Schelven over...

Verduistering van creditcard-gegevens?

Begin deze maand heeft de Amsterdamse rechtbank een ICT-student veroordeeld tot twaalf maanden gevangenisstraf wegens hacking en phishing van creditcardgegevens. In het strafvonnis is beslist dat – mede vanwege de jeugdige leeftijd van de veroordeelde – de helft van deze straf een voorwaardelijk karakter heeft. Die zes maanden moet de dader in de cel uitzitten als hij in de komende twee jaar alsnog een strafbaar feit begaat.

De veroordeelde heeft zich, aldus de rechtbank, ruim twee jaar lang schuldig gemaakt aan computervredebreuk door 32 websites te kraken en door ruim 200.000 e-mailadressen ongeautoriseerd uit de databases achter de gehackte websites naar zijn laptop te kopiëren. De student had gebruikgemaakt van Gre3nox Exploit Scanner om kwetsbaarheden in websites te ontdekken, van Havij om websites te hacken door middel van SQL-injecties en van Sendblaster om massaal e-mails mee te versturen.

Bij de uitvoering van het strafrechtelijk opsporingsonderzoek trof justitie bij de student een fors aantal creditcardnummers van klanten van ICS aan, met aanvullende gegevens zoals namen van kaarthouders, CVC-codes en vervaldata. Niet is echter gebleken dat die creditcardgegevens vervolgens door de student zijn gebruikt. Er waren dus geen financiële slachtoffers.

Inbreuk op vertrouwen
Het ontbreken van enige financiële benadeling neemt niet weg dat de rechtbank het gedrag van de student hoog op neemt. In het vonnis valt letterlijk te lezen: “De rechtbank neemt het verdachte kwalijk dat hij zijn kennis van de digitale wereld heeft misbruikt om daarmee cybercrime te plegen. Hij heeft met zijn handelen het vertrouwen dat eenieder moet kunnen hebben in het gebruik van internet en de integriteit van het elektronische betalingsverkeer geschaad. Het wegvallen van dat vertrouwen zou het maatschappelijk en economisch verkeer kunnen ontwrichten. Verreweg de meeste personen en bedrijven zijn immers afhankelijk van online diensten.” Daar zit geen woord Spaans bij.

Juridisch gepruts
De aanpak van justitie in deze strafzaak getuigt op één concreet punt van juridisch gepruts. De officier van justitie had in zijn aanklacht de verdachte in kwestie namelijk tevens verduistering van gegevens verweten. Dat viel met zoveel woorden in de dagvaarding te lezen. Op deze aanklacht ving justitie echter bot bij de strafrechter, want de rechtbank oordeelde dat alleen goederen verduisterd kunnen worden en dat gegevens in strafrechtelijke zin niet als goederen beschouwd kunnen worden.

Justitie kreeg dus een tik op de neus en in redelijkheid had zij die ook kunnen zien aankomen. Het is niet de eerste keer dat rechters in ons land oordelen dat digitale gegevens niet voor verduistering vatbaar zijn. ‘Nee’ was het antwoord van ons hoogste rechtscollege, de Hoge Raad, toen het in 1996 voor de cruciale vraag werd geplaatst of computergegevens ‘een goed’ zijn.

De officier van justitie in de Amsterdamse zaak heeft deze jurisprudentie kennelijk over het hoofd gezien. Dat is eens te meer vreemd nu juristen die zich buigen over computercriminaliteit al meer dan dertig jaar in boeken en vakbladen stevig discussiëren over de strafrechtelijke status van digitale gegevens. Bovendien heeft de wetgever, juist met het specifieke oog op de aanpak van cybercriminaliteit, een apart strafrechtelijk regime voor gegevens in de strafwet opgenomen. De consequentie van de weinig professionele insteek van justitie op dit punt was dus dat de verdachte vrijuit ging ten aanzien van de verweten toe-eigening van gegevens door middel van verduistering.

Professionaliteit
De uitspraak leert ons twee dingen. Ook als er geen enkel financieel slachtoffer is, kan het illegaal bemachtigen van creditcardgegevens toch een forse celstraf opleveren. Ten tweede wordt duidelijk dat de professionaliteit van justitie in de aanpak van cybercrime soms nog te wensen overlaat. Er valt dus nog wel wat te verbeteren binnen justitie.


Lees meer over