Met valse personalia internet bestellen is geen computervredebreuk

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken, is al tijden geen argument meer. Maar nee, toch is dit géén computerdelict. Dat blijkt uit een recent strafrecht vonnis uit Rotterdam.

De verdachte heeft zich met zijn partner op grote schaal en creatieve wijze schuldig gemaakt aan het veelvuldig oplichten van VodafoneZiggo en KPN gedurende een periode van bijna twee jaar, zo opent het vonnis. Hij nam onder valse persoonsgegevens contracten af, nam de modems in ontvangst en kon zo internetten en bellen zonder daarvoor te hoeven betalen. Kennelijk ging er iets mis bij VodafoneZiggo haar fraudecontrole, want “[i]n het huis van de verdachte en in een door hem gehuurde garagebox zijn maar liefst 1161 modems aangetroffen.” Maar goed, uiteindelijk toch gepakt.

Het OM noemde dit computervredebreuk, want “door met valse personalia via VodafoneZiggo modems te bestellen, deze aan te sluiten en te gebruiken en de kosten daarvan onbetaald te laten, is sprake van het wederrechtelijk binnendringen in deze modems.” Een argument dat je wel vaker hoort. Je weet dan dat je niet in die modems (of de bijbehorende servers) mag zijn, omdat je weet dat je geen abonnement hebt.

Toch klopt het niet:

De verdachte heeft niet op een andere wijze toegang gekregen tot en gebruik gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Niet kan dan ook worden gezegd dat hij door die gedragingen op een wederrechtelijke manier toegang heeft verworven tot de modems.
In mijn woorden, als je een computer of netwerk gewoon gebruikt zoals het bedoeld is, dan is het geen computervredebreuk. Ook niet als je eigenlijk onder valse voorwendselen opereerde, zoals hier dus met de nep-NAW gegevens. Dat sluit aan bij een eerder arrest uit Amsterdam, waarin de verdachte vervalste betaalopdrachten aan de computer van de Rabobank had aangeleverd:
de verdachte […] gebruik heeft gemaakt van hem door de Rabobank […] ter beschikking gestelde gegevens (pincode, overeenkomstnummer, software etc, met uitzondering van het door hem zelf samengestelde wachtwoord). De verdachte heeft door aldus te handelen op reglementaire, geautoriseerde wijze verbinding gezocht en verkregen met het computersysteem van de Rabobank […] toen hij zijn batch-bestanden verzond van zijn computer naar die van de Rabobank […]. Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.
Valse input geven aan een systeem is dus op zichzelf nog geen computervredebreuk. Pas als je de computer wat anders laat doen dan wat deze normaal gaat doen (zoals bij een SQL injectie) dan kom je in dat strafbare feit terecht.

Oplichting was het natuurlijk wel, wat deze meneer had gedaan. En daarvoor krijgt hij dan ook 18 maanden cel, waarvan 6 voorwaardelijk. De schadeclaim van VodafoneZiggo van een dik half miljoen wordt afgewezen “omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt” waaruit kon blijken dat de persoon die deze indiende, gemachtigd was namens VZ te handelen. Auw.

Arnoud

18 reacties

  1. Rond het laatste detail: Hoe zit het nu ‘precies’ rond vorderingen bijgevoegd in strafzaken versus de civiele zaken? Het leest wat kortaf: “De benadeelde partij zal alleen al in haar vordering niet-onvankelijk worden verklaard, omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt.” Dat “alleen al” leest lekker pedant van de Rechtbank. Vaker lees je ook dat strafrechters stellen dat ze een vordering niet in behandeling nemen “omdat het strafrecht daar niet voor bedoeld is”, maar waarom bestaat de optie dan überhaupt? Nu hou je slachtoffers een kans voor die soms wel en soms niet slaagt, maar waarbij altijd de civiele route openstaat. Wees dan helder (als wetgever): geldelijke schadevergoeding naar aanleiding van strafzaken altijd civiel, maar hopelijk met zoiets als het direct openstellen van het dossier en een versnelde route.

    Rond de uitspraak zelf vind ik de interpretatie van “valse signalen of een valse sleutel” nogal nauw. Dus een door mijzelf verzonnen “valse sleutel” (denk een quasirandom key die ik heb berekend en die toegang geeft) die werkt op het doelsysteem is wél strafbaar als computervredebreuk, maar de net zo valse sleutel van verkeerde persoonsinformatie níet. Ik zie geen technisch verschil, alleen een verschil in de stap binnen een keten waarin de eerste valse signalen of sleutel worden ingevoegd. Nu zal het voor de strafmaat uiteindelijk allemaal niet zo’n vaart lopen, dus deels theoretische exercitie.

    1. Het lijkt mij duidelijk geen computervredebreuk in dit geval. Stel dat ik een auto huur met een vals rijbewijs, en ik betaal met vals geld, maar ik kom hem na afloop van de afgesproken huurperiode netjes terugbrengen, en ik ga er precies zo mee om als ieder ander die op normale wijze een auto huurt, heb ik dan autodiefstal gepleegd omdat ik een vals rijbewijs gebruikt heb of niet heb betaald (zo ontdekken ze als ze dat valse geld naar de bank brengen)? Het lijkt me niet. Fraude, valsheid in geschrifte, oplichting, weet ik wat allemaal sure, maar geen autodiefstal.

      1. Diefstal is nu net een welomschreven begrip: wegnemen met als doel wederrechtelijk toe te eigenen. Hier is “valse sleutel” in de wet een (voor de leek) veel diffuser begrip, waarbij voor mij de “valse persoonsgegevens” en “valse sleutel” erg dicht bij elkaar zitten.

        1. Bij “valse sleutel” moet je in deze denken aan een gestolen wachtwoord (of gebruik maken van een achtergebleven debug account); niet aan een wachtwoord dat op reguliere wijze vanuit de computer beheerder/eigenaar aan jouw verstrekt is.

          Ik denk dat je ook over een “valse sleutel” kunt spreken als door een of andere systeemfout een account is aan te maken en jij maakt van de inloggegevens van dat account gebruik.

    2. Over de schadevergoedingen in strafzaken: die zijn er een aantal jaren geleden gekomen om het voor slachtoffers makkelijker (en goedkoper) te maken om de schade van een misdrijf vergoed te krijgen. Als een rotjochie bij jou een ruit ingooit kun je de rekening van de glaszetter bij de politie indienen en de officier van justitie legt het aan de rechter voor. Bij goedkeuring zorgt de staat voor incasso.

      In de oude situatie moest je eerst de naam van de dader achterhalen; een rechtszaak starten (griffierecht, dagvaardingskosten) en na een geslaagde rechtszaak van de kale kip te zien incasseren… Aanzienlijke kans dat deze rechtszaak het slachtoffer meer kost dan het uiteindelijk oplevert.

  2. Helemaal eens met dat eerste, dat voelde erg raar. (Tegelijk hoe kan een grote partij als VFZiggo zoiets vergeten.)

    Bij de login is denk ik de nuance of het gaat om gegevens voor toegang tót het systeem, de sleutel zelf, of metagegevens gekoppeld áán de toegangsgegevens. Als ik jouw login gebruik, dan voelt dat anders dan wanneer ik zelf een account aanvraag op jouw naam Willem en dan een login krijg van de dienstverlener. Het zit een laag hoger.

    Stel ik kan via de NS site een railrunner aanschaffen en op mijn OV-chipkaart zetten. Ik reis dan gratis; het poortje gaat zo open zonder saldo af te boeken. Heb ik nu computervredebreuk gepleegd omdat ik valselijk binnengedrongen ben (ik claimde een kind te zijn) of is dit alleen maar oplichting / valsheid in geschrifte bij de aanschaf?

    1. Ik zou zeggen valsheid in geschrifte. Okay, even pedantic mode on, thought experiment time: In de goede oude tijd toen Internet nog via dialup ging kreeg je een brief met username en password. Nu vraag ik me uberhaupt af of dialup nog verkrijgbaar is in Nederland maar als je die login gegevens nou zou gebruiken, zou dat dan computervredebreuk zijn?

    2. Ik zou zeggen: Zwartrijden. Het is volledig terecht voor een volwassene om een railrunner te kopen omdat de meeste 6 jarigen dat niet zelf kunnen (terzijde: Kan een 6 jarige een treinkaartje kopen?)), alleen mag je er niet zelf mee reizen.

      Het is niet wezenlijk anders dan met een kaartje voor Amsterdam in de trein naar Rotterdam stappen.

        1. Ja, je hebt een valse hoedanigheid aangenomen (aannemende dat je niet écht 6 jaar bent), ja het was opzettelijk (aannemende dat je bewust een verkeerd reisproduct hebt gekocht), maar er is toch helemaal geen sprake van het binnendringen in een (deel van een) geautomatiseerd werk?

          1. Ik laat de systemen van TLS iets registreren, dan ben ik toch binnengedrongen? Er staat nu een record in hun database dat er zonder mij niet was gekomen.

            Als ik een nepkaart had gemaakt (dus geheel zelf geprogrammeerd met een zelfgeraden authenticatiesleutel) dan was ik volgens mij toch ook binnengedrongen?

                1. Binnendringen moet toch iets betekenen. Om het naar een niet-Internet paralel te trekken. Als ik in een telefoonwinkel met vals id een telefoonabonnement afsluit is dat geen huisvredebreuk (maar fraude/valsheid in geschrifte). Alleen door een computer valse gegevens te verstrekken is er geen computervredebreuk: genoeg kinderen die aangeven dat ze boven de 13 zijn (waar dit niet zo is) of mensen die valse adresgegevens achterlaten bij systemen die meer gegevens vragen dan nodig. Beide zouden als onrechtmatige daad gezien kunnen worden, maar toch niet computervredebreuk.

  3. Zou dit ook geen jurisprudentie opleveren voor cardsharing-netwerken van schotelproviders? Immers daar gebruik je ook het systeem ‘zoals het bedoeld is’ door het de juiste (van een andere abonnee gekopieerde) input te geven om bepaalde zenderpakketten te ontgrendelen. Dat is dus wél wederrechtelijk, want je maakt inbreuk op bepaalde auteursrechten, maar geen computervredebreuk. Voorheen is dat altijd op computervredebreuk gegooid en is het OM er strafrechtelijk achteraan gegaan, terwijl je het wanneer je het met deze situatie vergelijk nog niet eens zo verschillend is — je gebruikt het systeem ‘legitiem’ met gegevens van het abonnement van een ander. Dan zou er dus alleen een civielrechtelijke aansprakelijkheid overblijven voor mensen die er op worden betrapt.

    1. Wordt bij cardsharing een kopie van de smartcard gemaakt? Dan praat je over het valse sleutel pad van computervredebreuk.

      Je moet maar even uitleggen hoe cardsharing werkt; dan kunnen we hier gefundeerd discussiëren over strafbaarheid en welke wetsartikelen overtreden worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.