Met valse personalia internet bestellen is geen computervredebreuk

| AE 12233 | Regulering, Security | 18 reacties

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken, is al tijden geen argument meer. Maar nee, toch is dit géén computerdelict. Dat blijkt uit een recent strafrecht vonnis uit Rotterdam.

De verdachte heeft zich met zijn partner op grote schaal en creatieve wijze schuldig gemaakt aan het veelvuldig oplichten van VodafoneZiggo en KPN gedurende een periode van bijna twee jaar, zo opent het vonnis. Hij nam onder valse persoonsgegevens contracten af, nam de modems in ontvangst en kon zo internetten en bellen zonder daarvoor te hoeven betalen. Kennelijk ging er iets mis bij VodafoneZiggo haar fraudecontrole, want “[i]n het huis van de verdachte en in een door hem gehuurde garagebox zijn maar liefst 1161 modems aangetroffen.” Maar goed, uiteindelijk toch gepakt.

Het OM noemde dit computervredebreuk, want “door met valse personalia via VodafoneZiggo modems te bestellen, deze aan te sluiten en te gebruiken en de kosten daarvan onbetaald te laten, is sprake van het wederrechtelijk binnendringen in deze modems.” Een argument dat je wel vaker hoort. Je weet dan dat je niet in die modems (of de bijbehorende servers) mag zijn, omdat je weet dat je geen abonnement hebt.

Toch klopt het niet:

De verdachte heeft niet op een andere wijze toegang gekregen tot en gebruik gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Niet kan dan ook worden gezegd dat hij door die gedragingen op een wederrechtelijke manier toegang heeft verworven tot de modems.
In mijn woorden, als je een computer of netwerk gewoon gebruikt zoals het bedoeld is, dan is het geen computervredebreuk. Ook niet als je eigenlijk onder valse voorwendselen opereerde, zoals hier dus met de nep-NAW gegevens. Dat sluit aan bij een eerder arrest uit Amsterdam, waarin de verdachte vervalste betaalopdrachten aan de computer van de Rabobank had aangeleverd:
de verdachte […] gebruik heeft gemaakt van hem door de Rabobank […] ter beschikking gestelde gegevens (pincode, overeenkomstnummer, software etc, met uitzondering van het door hem zelf samengestelde wachtwoord). De verdachte heeft door aldus te handelen op reglementaire, geautoriseerde wijze verbinding gezocht en verkregen met het computersysteem van de Rabobank […] toen hij zijn batch-bestanden verzond van zijn computer naar die van de Rabobank […]. Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.
Valse input geven aan een systeem is dus op zichzelf nog geen computervredebreuk. Pas als je de computer wat anders laat doen dan wat deze normaal gaat doen (zoals bij een SQL injectie) dan kom je in dat strafbare feit terecht.

Oplichting was het natuurlijk wel, wat deze meneer had gedaan. En daarvoor krijgt hij dan ook 18 maanden cel, waarvan 6 voorwaardelijk. De schadeclaim van VodafoneZiggo van een dik half miljoen wordt afgewezen “omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt” waaruit kon blijken dat de persoon die deze indiende, gemachtigd was namens VZ te handelen. Auw.

Arnoud

Deel dit artikel

  1. Rond het laatste detail: Hoe zit het nu ‘precies’ rond vorderingen bijgevoegd in strafzaken versus de civiele zaken? Het leest wat kortaf: “De benadeelde partij zal alleen al in haar vordering niet-onvankelijk worden verklaard, omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt.” Dat “alleen al” leest lekker pedant van de Rechtbank. Vaker lees je ook dat strafrechters stellen dat ze een vordering niet in behandeling nemen “omdat het strafrecht daar niet voor bedoeld is”, maar waarom bestaat de optie dan überhaupt? Nu hou je slachtoffers een kans voor die soms wel en soms niet slaagt, maar waarbij altijd de civiele route openstaat. Wees dan helder (als wetgever): geldelijke schadevergoeding naar aanleiding van strafzaken altijd civiel, maar hopelijk met zoiets als het direct openstellen van het dossier en een versnelde route.

    Rond de uitspraak zelf vind ik de interpretatie van “valse signalen of een valse sleutel” nogal nauw. Dus een door mijzelf verzonnen “valse sleutel” (denk een quasirandom key die ik heb berekend en die toegang geeft) die werkt op het doelsysteem is wél strafbaar als computervredebreuk, maar de net zo valse sleutel van verkeerde persoonsinformatie níet. Ik zie geen technisch verschil, alleen een verschil in de stap binnen een keten waarin de eerste valse signalen of sleutel worden ingevoegd. Nu zal het voor de strafmaat uiteindelijk allemaal niet zo’n vaart lopen, dus deels theoretische exercitie.

    • Het lijkt mij duidelijk geen computervredebreuk in dit geval. Stel dat ik een auto huur met een vals rijbewijs, en ik betaal met vals geld, maar ik kom hem na afloop van de afgesproken huurperiode netjes terugbrengen, en ik ga er precies zo mee om als ieder ander die op normale wijze een auto huurt, heb ik dan autodiefstal gepleegd omdat ik een vals rijbewijs gebruikt heb of niet heb betaald (zo ontdekken ze als ze dat valse geld naar de bank brengen)? Het lijkt me niet. Fraude, valsheid in geschrifte, oplichting, weet ik wat allemaal sure, maar geen autodiefstal.

        • Bij “valse sleutel” moet je in deze denken aan een gestolen wachtwoord (of gebruik maken van een achtergebleven debug account); niet aan een wachtwoord dat op reguliere wijze vanuit de computer beheerder/eigenaar aan jouw verstrekt is.

          Ik denk dat je ook over een “valse sleutel” kunt spreken als door een of andere systeemfout een account is aan te maken en jij maakt van de inloggegevens van dat account gebruik.

    • Over de schadevergoedingen in strafzaken: die zijn er een aantal jaren geleden gekomen om het voor slachtoffers makkelijker (en goedkoper) te maken om de schade van een misdrijf vergoed te krijgen. Als een rotjochie bij jou een ruit ingooit kun je de rekening van de glaszetter bij de politie indienen en de officier van justitie legt het aan de rechter voor. Bij goedkeuring zorgt de staat voor incasso.

      In de oude situatie moest je eerst de naam van de dader achterhalen; een rechtszaak starten (griffierecht, dagvaardingskosten) en na een geslaagde rechtszaak van de kale kip te zien incasseren… Aanzienlijke kans dat deze rechtszaak het slachtoffer meer kost dan het uiteindelijk oplevert.

  2. Helemaal eens met dat eerste, dat voelde erg raar. (Tegelijk hoe kan een grote partij als VFZiggo zoiets vergeten.)

    Bij de login is denk ik de nuance of het gaat om gegevens voor toegang tót het systeem, de sleutel zelf, of metagegevens gekoppeld áán de toegangsgegevens. Als ik jouw login gebruik, dan voelt dat anders dan wanneer ik zelf een account aanvraag op jouw naam Willem en dan een login krijg van de dienstverlener. Het zit een laag hoger.

    Stel ik kan via de NS site een railrunner aanschaffen en op mijn OV-chipkaart zetten. Ik reis dan gratis; het poortje gaat zo open zonder saldo af te boeken. Heb ik nu computervredebreuk gepleegd omdat ik valselijk binnengedrongen ben (ik claimde een kind te zijn) of is dit alleen maar oplichting / valsheid in geschrifte bij de aanschaf?

  3. Zou dit ook geen jurisprudentie opleveren voor cardsharing-netwerken van schotelproviders? Immers daar gebruik je ook het systeem ‘zoals het bedoeld is’ door het de juiste (van een andere abonnee gekopieerde) input te geven om bepaalde zenderpakketten te ontgrendelen. Dat is dus wél wederrechtelijk, want je maakt inbreuk op bepaalde auteursrechten, maar geen computervredebreuk. Voorheen is dat altijd op computervredebreuk gegooid en is het OM er strafrechtelijk achteraan gegaan, terwijl je het wanneer je het met deze situatie vergelijk nog niet eens zo verschillend is — je gebruikt het systeem ‘legitiem’ met gegevens van het abonnement van een ander. Dan zou er dus alleen een civielrechtelijke aansprakelijkheid overblijven voor mensen die er op worden betrapt.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS