Waarom is ransomware losgeld betalen eigenlijk niet strafbaar?

Een lezer vroeg me:

Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over “ongebruikelijk” betalingsverkeer en betalen aan verdachte landen?
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.

Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.

Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)

Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.

Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.

In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen “zaken doen”, nog los van dat je niet wéét waar de gijzelnemers zitten.

Arnoud

Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

Kantonrechtersrant over falend geautomatiseerd systeem van CJIB

Een rantende kantonrechter, altijd mooi om te zien. Maar eigenlijk is het om te huilen want het is bepaald stuitend om te zien hoe slecht een overheids-ICT-systeem in werkelijkheid functioneert. Het incassosysteem van het CJIB blijkt van een dusdanige simpelheid dat je er depressief van kunt raken. En niemand lijkt de behoefte te gevoelen daar wat aan te doen (via).

In deze zaak was een verzoek tot gijzeling ingediend van de houder van een motorvoertuig, omdat hij de boete voor het onverzekerd zijn van dat voertuig niet had betaald. Bij de incasso bleek er niets te halen, het rijbewijs innemen kon ook niet en de auto afvoeren was geen optie want meneer had geen auto. Eh wacht, wat?

Ja precies. In die situatie iemand gijzelen (insluiten) om te dwingen dat er alsnog betaald wordt, doet ahem ietwat gek aan. Maar dit is geen handmatig genomen beslissing van een officier na zorgvuldige bestudering van het dossier en de opties. Het blijkt simpel een onvermijdelijk gevolg te zijn van het geautomatiseerde proces bij het CJIB dat voor iedere boete dezelfde stappen afloopt, waar kennelijk geen mens inhoudelijk op toeziet of toetst of het nog wel redelijk is wat er gebeurt.

Het verbaast de kantonrechter met welk gemak deze vorderingen landelijk door de officier van justitie te Leeuwarden worden ingesteld en voorts verbaast het de kantonrechter met welk gemak deze vordering vervolgens landelijk -zonder noemenswaardige motivering- via een standaardformulier worden toegewezen.

Al in 2012 klaagde deze zelfde rechter over deze gekke situatie. in die zaak speelde vrijwel exact dezelfde feiten, tot en met de onverzekerde auto zonder auto. Uit die zaak blijkt dat het nogal een puinhoop is met het CJIB informatiesysteem: niemand kan meneer vertellen hoe veel boetes hij moet betalen en of er nog meer gijzelingsverzoeken gaan komen. Het systeem is verbazingwekkend simpel en ijzerenheinig:

Dit incasseren gebeurt via strikt gescheiden afzonderlijke trajecten, waarbij steeds opnieuw bij iedere (nieuwe) zaak de reeks: boete/sanctie, 1e en 2e verhoging, verhaal met of zonder dwangbevel, toepassing dwangmiddelen (inname rijbewijs/ buitengebruikstelling voertuig) en gijzeling wordt afgewerkt/afgelopen. In dat traject is kennelijk niemand in staat of bereid om een probleemgeval, bestaande uit een opeenstapeling van boetes bij één persoon, te onderkennen en op te lossen.

En zelfs maar een beslistak met “niets te halen met incasso, goto :jammerdan” zit er niet in. Waaróm is het toch zo moeilijk, overheid en ICT?

Arnoud